iftop

iftop

краткое определение

iftop — консольная утилита мониторинга сетевого трафика в реальном времени. Отображает пары хостов с наибольшим сетевым взаимодействием и объём трафика между ними в интерактивном режиме. Аналог top, но для сети.

iftop — интерактивная консольная утилита для мониторинга сетевых соединений на Linux-сервере. Показывает топ пар хостов по объёму трафика в реальном времени: входящий, исходящий, скорость за последние 2, 10 и 40 секунд. Помогает выявить нетипичные подключения, DoS-атаки или утечки трафика.

Использование

# Мониторинг всех интерфейсов
iftop

# Конкретный интерфейс
iftop -i eth0

# Без DNS-резолвинга (быстрее)
iftop -n

# Фильтр по хосту
iftop -f "host 1.2.3.4"

Ключи управления в интерфейсе

t — переключить режим отображения (двустороннее/только входящее/только исходящее)
n — включить/выключить DNS-резолвинг
p — показать порты
P — пауза обновления
q — выход

iftop vs nethogs vs nload

iftop — топ по парам хостов. Ответ на вопрос: «С кем и сколько трафика?»
nethogs — трафик по процессам. Ответ: «Какое приложение жрёт трафик?»
nload — общая загрузка интерфейса с графиком. Ответ: «Сколько Мбит/с сейчас?»
tcpdump — захват пакетов для глубокого анализа.

История

iftop создан Полом Уорреном в 2002 году. Первый релиз 0.16 — 2002 год. Стабильная версия 1.0pre4 (2014) практически не менялась. Лицензия GPL. Распространяется в репозиториях всех major Linux-дистрибутивов: apt install iftop.

Связь с хостингом

iftop — один из первых инструментов диагностики при высокой нагрузке на сеть VDS. Если хостинг-провайдер сообщает о превышении трафика, iftop поможет найти источник. DDoS-атаки видны как множество соединений от одного или многих IP с высоким трафиком. Пороговые значения трафика важны при тарификации по трафику.

История iftop

iftop разработан Паулем Уорреном в 2002 году как аналог утилиты top для сетевого трафика. Использует библиотеку libpcap для захвата пакетов без сохранения на диск. Отображает текущую пропускную способность между парами хост–хост в реальном времени. Доступен в репозиториях всех основных дистрибутивов: apt install iftop. Требует прав root или CAP_NET_RAW.

iftop vs nethogs vs nload vs iptraf

Утилита	Уровень анализа	Группировка
iftop	пары IP	по соединениям
nethogs	процессы	по PID
nload	интерфейс	суммарно
iptraf-ng	протокол/порт	детально

Практическое применение на хостинге

На VPS iftop помогает выявить DDoS-атаки и неожиданно высокий трафик: запустите iftop -i eth0 -n для отображения IP без DNS-разрешения. При исчерпании тарифного трафика iftop покажет, какой хост потребляет больше всего. Полезна фильтрация по порту: iftop -f "port 3306" для мониторинга трафика MySQL.

Типичные ошибки

Запуск без указания интерфейса: iftop без -i может захватить неправильный интерфейс.
Паника при виде высоких значений — iftop показывает пиковые значения за 2/10/40 секунд, не средние.
Для постоянного мониторинга используйте Zabbix или Telegraf, а не iftop.