linux流量解析

　　vnstat是一个应用于Linux或BSD平台，对网卡流量做监控。 并非是基于网络包嗅探的方式而是基于/proc的分析。现在vnstat已经有出vnstat PHP frontend 扩展了，可以以PHP脚本的形式直接调用vnStat监测的数据

　　解决问题的思路编写脚本持续监控网卡流量，当超过指定阀值时，开始捕获数据并存储后进行分析#!/bin/sh

　　在某些应用安全场景需要结合进程级网络连接、流入流出流量等数据直接分析出进程的异常。例如，在内网主机上是否存在持续恶意外传敏感数据的现象、在网络监控时发现服务器大量带宽被占用但不清楚由系统具体哪个进程占用。为此都需要获取更细粒度的进程级网络流量数据直接锁定异常服务。

　　在Linux系统中都有相应开源工具采集网络连接、进程、流量等信息，像netstat命令查看主机网络连接信息，一般包括最基本的五元组信息(源地址、目标地址、源端口、目标端口、协议号)；ps命令采集进程信息，包括pid, user, exe, cmdline等；iftop命令获取网卡的实时流量数据。

　　但很可惜没有一个细粒度进程级流入流出网络流量数据。为此，本文旨在分享实现一种统计Linux进程级网络流量方式。

　　第11列是inode号，代表Linux系统中的一个文件系统对象包括文件、目录、设备文件、socket、管道等的元信息。如图中623457565是某进程监听socket(状态0A)的inode号。

　　/proc/pid/fd目录是进程所有打开的文件信息，其中0、1、2表示标准输入、输出、错误，网络连接是以socket:开头的文件描述符，其中[]号内的是socket对应inode号，这样可以和网络状态文件/proc/net/tcp下的inode号可对应起来。

　　解析出packet的五元组(源地址、目标地址、源端口、目标端口、协议号)信息和当前报文的流量大小。

　　通过对Linux主机抓包，结合网络状态文件、进程文件描述符实现一种细粒度的进程级网络流量采集方式。利用Linux文件inode号作为桥梁，关联出进程、网络连接的映射关系。

　　本文的实现方式可以按进程维度统计接收/发送的总量/平均值等各维度数据，也可以扩展按网络连接维度统计流量数据，这些在主机流量安全分析、网络监控排查等场景方面可作为重要依据。

　　本文介绍的流量统计方式是一种通用的实现方式，但持续使用libpcap抓包对主机性能有较明显损耗;滴滴云的主机安全团队研发了一种更高效的实现方式，主机上服务无任何感知能力，目前已在数万台主机上稳定运行，下篇文章进行详细分析，敬请期待。

　　容器中，部分命令未安装，记录一个比较实用的shell脚本，在不依赖外部工具包的情况下，利用网卡等信息进行网络状况

　　。 #!/bin/bash #write by zhumaohai(admin#centos.bz) #显示菜单(单选) display_menu(){ ...

　　。NetHogs只能实时监控进程的网络带宽占用情况。NetHogs支持IPv4和IPv6协议，支持本地网卡以及PPP链接 2)debian下...

　　命令行： tcpdump -i eth1 -s 0 host 10.14.129.224 -w output.txt -i指定在eth1上监听，这个根据不同机器吧 ，默认是eth0，一开始没有指定这个，导致监听不到。...生成的文件拿到wireshark下

　　中，top命令可以查看服务器中资源的一些情况，cpu，内存等，还可以看到是谁在消耗内存或cpu，但是，有些时候，我们发现，cpu和内存并不吃紧，但是服务器依然很慢，这时候，我们需要多一个维度来帮助...

　　IP、显示端口信息等，详细的将会在后面的使用参数中说明。 yum install -y iftop iftop 界面...

　　，最简单的办法莫过于在客户端直接安装一个Wireshark或者Fiddler了，但是有时候由于客户端开发人员（可能是第三方）知识欠缺或者其它一些原因，无法顺利的在客户端进行抓包

　　系统下如果服务器带宽跑满了，查看跟哪个ip通信占用带宽比较多，可以通过iftop命令进行查询，使用方法如下：1 安装方法【软件官网地址：】CentOS系统运行：yum install ...

　　报告会输出到这些文件中：（不同的网卡目录是对对应的网卡名称） /sys/class/net/eth0/statistics/rx_packets: 收到的数据包数据/sys/class/net/eth0/statistics/tx_packets: 传输的数据包数量/...

　　一、遇到的状况 出网带宽：流出服务器的带宽，从服务器对外提供访问，或者从客户端FTP等方式下载服务器内部资源都是出网带宽，服务器 出带宽就是购买的带宽值。  2M的带宽几乎一直被占用，导致程序非常卡，...

　　进行ARP欺骗 如果你附近有一位学计算机专业的同学，你乐呵呵地蹭他的网，要当心啦。你所有浏览的信息都可能被看到。有些网站的密码也可能被不良同学获取到（奸笑）。好吧，想要制霸内网，...

　　工具1 sar  sar命令包含在sysstat工具包中，提供系统的众多统计数据。... 某些系统提供的sar支持基于网络接口的数据统计，这个命令可以查看设备上每秒收发包的个数和

　　) httpwatch (windows) 浏览器自带抓包工具 (windows) tcpdump (

　　几种网络名词解释1、local网络：local网络是与其他网络和节点隔离的网络。连接到本地网络的实例可以与相同计算节点上的相同网络中的其他...