INFORMATICS

 iftop - polecenie które uruchamia aplikację nasłuchującą ruchu w sieci.
uruchamiamy je komendą iftop.
Jest to narzędzie trybu tekstowego uruchamiane w shell
dodatkowo możemu używać komendy z filtrem.
Poniższa komenda pokaże nam kto bada naszą sieć pingiem
#iftop -f icmp
Można też włączyc filtr analizujący ruch przychodzący z sieci 192.168.0.0/24
#iftop -F 192.168.0.0/24
Wyłączeie filtrowania ruchu dla portu 22
#iftop -f '22'
Program wybiera domyślnie interfejs eth0

Instalacja aplikacji w centos
yum install iftop

Skróty klawiszowe:

Wyświetlanie hostów:
t - zmiana trybu wyświetlania (jedna linia na host, tylko ruch przychodzący, tylko ruch wychodzący, dwie linie na hosta - z/do hosta)
n - pokazuj nazwy hostów jeżeli dostępne zamiast adresów IP
s - pokazuj hosta źródłowego
d - pokazuj hosta docelowego
 
Wyświetlanie portów:
Shift+n = N - pokazuj nazwy usług sieciowych
Shift+s = S - pokazuj port źródłowy
Shift+d = D - pokazuj port docelowy
p - włącz/wyłącz pokazywanie portów
 
Sortowanie:
1,2,3 - sortowanie według kolumn
< - sortowanie według źródła
> - sortowanie według celu (tam gdzie pakiet ma dojść)
o - zamraża kolejność aktualnie wyświetloną
 
Ogólne:
h - pomoc
Shift+p = P - pauza
b - włącz/wyłącz wyświetlanie graficznych wykresów-słupków użycia łącza
Shift+b = B - zmień odświeżanie dolnego panelu
Shift+l = L - zmiana skali
l - ustaw filtr wyświetlania (np. google.com, będzie pokazywać tylko ruch pomiędzy naszą maszyną a google.com)
f - zmień filtr skanowania (np. port 80 - będzie pokazywać tylko ruch na porcie 80)
j - przewijanie listy w dół
k - przewijanie listy do góry
Shift+t = T - ukryj/pokaż kolumnę podsumowującą po prawej stronie
 

Na głównym ekranie widać aktywne połączenia adres źródłowy i adres docelowy oraz kolumny pokazujące średnie obciążenie liczone w czasie 2,10,40 sekund.
Ruch widoczny jest w obu kierunkach.
Na belce dolnej widać sumaryczny ruch na obserowanym interfejsie
TX - transmits data - dane wysłane
RX - receives data - dane odebrane
"cum" - to waga od początku uruchomienia iftp
"peak" - szczytowa wartość od momentu uruchomienia
"rates" - ilość danych w okresie 2,10,40 sekund

Podczas pracy aplikacji możemy zmieniać jej widok i wyświetlanie opcja help zaszyta pod "?" pokaże wszystkie opcje

Host display:                                        General:
n – toggle DNS host resolution          P – pause display
s – toggle show source host                 h – toggle this help display
d – toggle show destination host        b – toggle bar graph display
t – cycle line display mode                   B – cycle bar graph average
T – toggle cummulative line totals
Port display:                                         j/k – scroll display
N – toggle service resolution               f – edit filter code
S – toggle show source port                 l – set screen filter
D – toggle show destination port       L – lin/log scales
p – toggle port display                        ! – shell command
q – quit
Sorting:
1/2/3 – sort by 1st/2nd/3rd column
<  – sort by source name
>  – sort by dest name
o – freeze current order

aby wyjść z help menu wciskamy ponownie "?"

Przykład

Będąc w iftop włączamy filtr - klawisz f i wpisujemy frazę - wyłącza to pokazywanie ruchu z adresu IP 192.168.1.22

"not ip host 192.168.1.22"

Help z linii poleceń wyświetlający parametry iftop

root# iftop –help

iftop: display bandwidth usage on an interface by host

Synopsis: iftop -h | [-npbBP] [-i interface] [-f filter code] [-N net/mask]

-h                  display this message
-n                  don’t do hostname lookups
-N                  don’t convert port numbers to services
-p                  run in promiscuous mode (show traffic between other
hosts on the same network segment)
-b                  don’t display a bar graph of traffic
-B                  Display bandwidth in bytes
-i interface        listen on named interface
-f filter code      use filter code to select packets to count
(default: none, but only IP packets are counted)
-F net/mask         show traffic flows in/out of network
-P                  show ports as well as hosts
-m limit            sets the upper limit for the bandwidth scale
-c config file      specifies an alternative configuration file