Linux 查看实时流量和端口监测

一、VPS查看实时流量工具

1、安装软件

# CentOS
sudo yum install nload

# Ubuntu/Debian
sudo apt install nload

2、查看流量命令

nload eth0     # 查看 eth0 网卡流量

二、端口监测

执行以下命令，安装 iftop 工具（iftop 工具为 Linux 服务器下的流量监控小工具）

1、安装iftop 

# CentOS
yum install iftop -y

# Ubuntu/Debian
apt-get install iftop -y

2、执行以下命令，安装 lsof。

yum install lsof -y

3、运行iftop

iftop

• <=、=> 表示流量的方向
• TX 表示发送流量
• RX 表示接收流量
• TOTAL 表示总流量
• Cum 表示运行 iftop 到目前时间的总流量
• peak 表示流量峰值
• rates 分别表示过去2s、10s和40s的平均流量

根据 iftop 中消耗流量的 IP，执行以下命令，查看连接该 IP 的进程。

lsof -i | grep IP

例如，消耗流量的 IP 为201.205.141.123，则执行以下命令：

lsof -i | grep 201.205.141.123

根据返回的如下结果，得知此服务器带宽主要由 SSH 进程消耗。

sshd       12145    root    3u  IPV4  3294018       0t0   TCP 10.144.90.86:ssh->203.205.141.123:58614(ESTABLISHED)
sshd       12179  ubuntu    3u  IPV4  3294018       0t0   TCP 10.144.90.86:ssh->203.205.141.123:58614(ESTABLISHE)

看消耗带宽的进程，判断此进程是否正常。

三、iptables 禁止 IP

• 安装iptables

# Ubuntu/Debian
sudo apt-get install iptables

# CentOS
sudo yum install iptables

• 禁止指定 IP

iptables -I INPUT -s 202.3.48.165 -j DROP

• 禁止指定 IP段

iptables -I INPUT -s 10.0.28.15/24 -j DROP

• 禁止指定 IP和端口

iptables -I INPUT -s 10.0.28.15 -ptcp --dport 22 -j DROP

• 查看当前的IP规则列表

iptables -L

二、iptables 拦截记录查看

用命令 iptables -vnL 查看效果：

三、iptables 解封禁止 IP 

iptables -D INPUT -s 10.0.28.15 -j DROP

参数-I是表示 Insert （添加），-D表示 Delete （删除）。后面跟的是规则， INPUT 表示入站，10.0.28.15表示要封停的IP， DROP 表示放弃连接。