Tout d'abord, expliquons ce que fait iftop !
Il agit plus ou moins comme top, ou htop mais ne mesure pas les processus dans le processeur. Il mesure plutôt les «processus» par interface Ethernet, vous donnant des informations sur les IPs qui ont une connexion avec le serveur sur lequel iftop est en cours d'exécution, donnant également des informations sur le trafic, s'il est entrant ou sortant, également combien de trafic il y a dans cette connexion et la quantité totale de trafic dans l'interface. iftop est donc un utilitaire open source compatible linux permettant de visualiser le trafic réseau sur une interface donnée.
Cet utilitaire est fourni à partir du référentiel EPEL et yum effectuera l'installation pour nous:
yum install iftop
En cas d'alerte de votre supervision sur une activité anormale de votre bande passante, notamment si celle-ci est saturée, nous pouvons à l’aide d’iftop regarder qui utilise la bande passante et de quelle manière.
Voici donc les différentes options :
-h Afficher l’aide
-n Ne pas résoudre les noms d’hôtes
-N ne pas afficher le nom des ports listés dans le fichier /etc/services
-p Lancer le mode promiscuous (Voir le trafic entre deux hôte appartenant au même réseau)
-b Ne pas afficher la bar graphique du trafic
-B Afficher la bande passante en octet
-i interface écouter le trafic sur une interface donnée
-f filter code filtrer le trafic à écouter
-F net/mask filtrer le traffic à un réseau IPV4 donné
-G net6/mask6 filtrer le traffic à un réseau IPV6 donné
-l display and count link-local IPv6 traffic (default: off)
-P Voir les ports utilisés
-c config file spécifier un fichier de configuration
Pour accéder à cette liste, il suffit d’appuyer sur la touche “h”. idem pour ne plus les voir
Bien qu'il soit pratique et agréable de voir tous les hôtes avec lesquels votre serveur parle, il arrive souvent que vous ne soyez intéressé que par un certain segment du réseau. iftop vous permet de filtrer les connexions par réseau, hôte et port, ce qui vous donne un contrôle complet sur les connexions affichées. iftop accepte les filtres formatés pcap-filter sur la ligne de commande avec l'indicateur -f. Vous trouverez ci-dessous un tableau de certains des fichiers que vous voudrez peut-être utiliser avec iftop:
| dst host xxxx | src host xxxx |
| dst net xxxx | src net net |
| dst port xxxx | src port xxxx |
| dst portrange start-end | src portrange start-end |
| gateway xxxx | |
| ip proto protocol |
Exemple:
- pour afficher uniquement le trafic allant de votre machine locale vers google.com via eth0, vous pouvez exécuter:
- iftop -i eth0 -f “dst host Linux.com”
- pour voir uniquement le trafic ssh sur eth1:
- iftop -i eth1 -f “dst port 22″
Quelques options à connaitre au minimum :
t –> permet d’afficher le trafic sortant et entrant sur la même ligne
1/2/3 –> Permet de trier en fonction du trafic entrant, sortant ou total ( appuyez sur t avant pour plus de lisibilité)
< et > –> pour classer en fonction de l’adresse IP source ou de destination
S,n,N… –> pour afficher ou nom les ports, résoudre les noms d’hotes ou non…
