Iftop – monitorer votre trafic réseau en temps réel

iftop est un utilitaire open source compatible linux permettant de visualiser le trafic réseau sur une interface donnée.

Voici une capture d’écran :

 

Mon utilisation

Je supervise la bande passante de mon lien Internet avec Nagios. Si Nagios m’envoie une alerte disant que ma bande passante est saturé, je peux à l’aide d’iftop regarder qui utilise la bande passante et de quelle manière.

Pour cela, je recopie le port de mon firewall (externe) sur un autre port ( port mirroring). J’ai branché une interface d’un de mes serveurs linux en écoute de ce port.

 

Installation d’iftop

Sur Centos, rien de plus simple. Il suffi de lancer la commande :

yum install iftop

 

Utilisation d’iftop

Voici les différentes options d’iftop :

   -h                  Afficher l’aide

   -n                  Ne pas résoudre les noms d’hôtes

   -N                  ne pas afficher le nom des ports listés dans le fichier /etc/services

   -p                  Lancer le mode promiscuous (Voir le trafic entre deux hôte appartenant au même réseau)
   -b                  Ne pas afficher  la bar graphique du trafic

   -B                  Afficher la bande passante en octet

   -i interface        écouter le trafic sur une interface donnée

   -f filter code      filtrer le trafic à écouter

   -F net/mask         filtrer le traffic à un réseau IPV4 donné

   -G net6/mask6       filtrer le traffic à un réseau IPV6 donné

   -l                  display and count link-local IPv6 traffic (default: off)
   -P                  Voir les ports utilisés

    -c config file      spécifier un fichier de configuration

 

exemples :

A vous de voir à quoi correspond ces exemples en fonction de la description des options ci-dessus.

$> iftop –i eth1

$> iftop -i eth1 -B -P  -F 192.168.0.0/16

 

Des raccourcis ont été prévu afin de pouvoir effectuer des actions lorsque iftop  est lancé. Voici la liste en anglais :

Host display:                          General:
n – toggle DNS host resolution         P – pause display
s – toggle show source host            h – toggle this help display
d – toggle show destination host       b – toggle bar graph display
t – cycle line display mode            B – cycle bar graph average
                                        T – toggle cumulative line totals
Port display:                           j/k – scroll display
N – toggle service resolution          f – edit filter code
S – toggle show source port            l – set screen filter
D – toggle show destination port       L – lin/log scales
p – toggle port display                ! – shell command
                                        q – quit
Sorting:
1/2/3 – sort by 1st/2nd/3rd column
< – sort by source name
> – sort by dest name
o – freeze current order

 

Pour accéder à cette liste, il suffi d’appuyer sur la touche “h”. idem pour ne plus les voir

Voici ce que j’utilise :

t –> permet d’afficher le trafic sortant et entrant sur la même ligne

1/2/3 –> Permet de trier en fonction du trafic entrant, sortant ou total ( appuyez sur t avant pour plus de lisibilité)

< et > –> pour classer en fonction de l’adresse IP source ou de destination

S,n,N… –> pour afficher ou nom les ports, résoudre les noms d’hotes ou non…

En gros, il y a beaucoup de fonctionnalités bien sympa. N’hésitez pas à toutes les tester.