【原创·版权所有】
比较笨拙的用处,如果有小学生用免费的DDos工具攻击你,就可以用到这个封掉攻击的IP,少数简单,多数很累。一般小型DDos攻击来说就是有几个主力肉鸡再攻击,把攻击主力IP封掉,就可以事半功倍。
iftop可以用来监控网卡的实时流量、、流量、显示端口等等,详细的将会在后面的使用参数中说明。
iftop官方网站:http://www.ex-parrot.com/~pdw/iftop/
一、安装iftop
①安装所需依赖包
CentOS上安装所需依赖包:
yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel
Debian上安装所需依赖包:
apt-get install flex byacc libpcap0.8 libncurses5
②安装iftop,复制以下全部命令到SSH
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz tar zxvf iftop-0.17.tar.gz cd iftop-0.17 ./configure make && make install
③运行iftop,直接输入以下命令运行程序
iftop
二、使用iftop
比如用Linux系统自带的iptables防火墙,禁止IP访问命令
# iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
(xxx.xxx.xxx.xxx代表IP地址,输入上述命令即可禁止此IP访问你的主机IP。重启VPS后会失效。)
①iftop界面说明
界面上面显示的是类似刻度尺的刻度范围,为显示流量图形的长条作标尺用的。
中间的<= =>这两个左右箭头,表示的是流量的方向。
TX:发送流量;
RX:接收流量;
TOTAL:总流量;
Cumm:运行iftop到目前时间的总流量;
peak:流量峰值;
rates:分别表示过去 2s 10s 40s 的平均流量。
②iftop界面命令(区分大小写)
按h切换是否显示帮助;
按n切换显示本机的IP或主机名;
按s切换是否显示本机的host信息;
按d切换是否显示远端目标主机的host信息;
按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
按N切换显示端口号或端口服务名称;
按S切换是否显示本机的端口信息;
按D切换是否显示远端目标主机的端口信息;
按p切换是否显示端口信息;
按P切换暂停/继续显示;
按b切换是否显示平均流量图形条;
按B切换计算2秒或10秒或40秒内的平均流量;
按T切换是否显示每个连接的总流量;
按l打开屏幕过滤功能,输入要过滤的字符,比如ip,按回车后,屏幕就只显示这个IP相关的流量信息;
按L切换显示画面上边的刻度;刻度不同,流量图形条会有变化;
按j或按k可以向上或向下滚动屏幕显示的连接记录;
按1或2或3可以根据右侧显示的三列流量数据进行排序;
按<根据左边的本机名或IP排序;
按>根据远端目标主机的主机名或IP排序;
按o切换是否固定只显示当前的连接;
按f可以编辑过滤代码;
按!可以使用shell命令;
按q退出监控。
③iftop使用命令
常用的命令
-i设定监测的网卡,如:# iftop -i eth1
-B 以bytes为单位显示流量(默认是bits),如:# iftop -B
-n使host信息默认直接都显示IP,如:# iftop -n
-N使端口信息默认直接都显示端口号,如: # iftop -N
-F显示特定网段的进出流量,如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
-h(display this message),帮助,显示参数信息
-p使用这个参数后,中间的列表显示的本地主机信息,出现了本机以外的IP信息;
-b使流量图形条默认就显示;
-f这个暂时还不太会用,过滤计算包用的;
-P使host信息及端口信息默认就都显示;
-m设置界面最上边的刻度的最大值,刻度分五个大段显示,例:# iftop -m 100M