Nload и iftop: мониторинг сетевого трафика в реальном времени

Nload и iftop — инструменты, которые используются для диагностики и мониторинга сетевого трафика. В статье разберём каждый из них, расскажем о задачах и отличиях. 

Nload

Nload — консольная утилита для Linux и Unix-подобных операционных систем. Она разработана для проверки сетевого трафика в режиме реального времени. Показывает скорость входящего и исходящего трафика в выбранных единицах измерения (бит/с, Кбит/с, Мбит/с) и визуализирует её в терминале в виде текстового графика.

Плюсы:

• позволяет быстро получить и проанализировать данные;
• детализирует информацию по соединениям: показывает минимальную, максимальную и среднюю скорость, а также общий объём данных;
• не требует установки дополнительных библиотек или настройки;
• минимально потребляет ресурсы системы;
• поддерживает кроссплатформенность (Linux, BSD, FreeBSD, macOS).

Недостатки:

• Показывает только общую скорость соединений: нельзя фильтровать трафик, например, вывести данные по определённому порту или IP-адресу.
• Не ведёт логи, поэтому не подходит для полноценного мониторинга.

Установка

Для установки утилиты понадобятся root-права.

Использование

Запустить nload можно без привилегий root. Параметры запуска:

• Мониторинг конкретного интерфейса (например, eth0):

nload eth0

По умолчанию используется основной интерфейс системы.

• Настройка интервала обновления (например, 500 мс):

nload -t 500

• Сохранение результатов в файл:

nload > results.log

Для завершения записи нажмите клавишу q.

Рассмотрим типичный сценарий использования nload. Допустим, пользователи жалуются на медленную загрузку сайта в пиковые часы, и системный администратор подозревает высокую сетевую нагрузку, возможно — DDoS-атаку. 

С помощью nload можно в режиме реального времени мониторить входящий и исходящий трафик на интерфейсе, отображая графики, пиковые значения и общий объём данных. Это позволит выявить аномалии: например, при DDoS — резкий рост входящего трафика в 50 раз при минимальном исходящем. Такие паттерны помогают определить точное время аномалии и принять меры.

Для этого нужно подключиться к серверу и ввести команду для мониторинга сетевого трафика на конкретном интерфейсе. Например, для eth0:

nload eth0

Чтобы определить причины повышенной нагрузки, к примеру DDoS-атаку, запускаем nload с дополнительными опциями:

nload -t 1000 -a 300 -u m eth0

-t 1000 — частота обновлений, в этом случае — каждые 500 мс (по умолчанию — 200 мс) — для сглаживания графика и выявления паттернов.

-u k|m|g — единицы измерения (k — КБ, m — МБ, g — ГБ; по умолчанию авто).

-a 300 — интервал времени, который усредняет данные о трафике. Значение 300 секунд в данном случае позволяет игнорировать краткие всплески.

После запуска команды на графике мы можем увидеть повышенную нагрузку на сетевой интерфейс в определённый промежуток времени — это может указывать на возникновение DDoS-атаки. Чтобы выявить источник повышенного сетевого трафика и заблокировать его, трафик можно проанализировать логи Nginx.

Iftop

Iftop — это утилита, которая анализирует пропускную способность сетевых интерфейсов в режиме реального времени. Показывает входящий и исходящий трафик, детализирует данные по IP-адресам, портам, доменным именам, подсетям и протоколам, а также отображает динамику изменения исходящей и входящей скорости в виде графика.

Плюсы:

• Iftop показывает, какие хосты (IP-адреса или доменные имена) общаются с сервером, какой порт они используют и с какой скоростью данные передаются в обоих направлениях. Это помогает выявлять конкретные проблемы: например, определить процесс или внешний хост, который загружает канал связи. А если с удалённым сервером обмен данными происходит медленно — определить источник проблемы: на вашей стороне, на стороне канала или  удалённого хоста.
• Не требует установки дополнительных библиотек или настройки.
• Минимально потребляет ресурсы системы.
• Поддерживает различные интерфейсы: Ethernet, Wi-Fi и др.

Минусы:

• Не отображает общую сумму входящего и исходящего трафика на интерфейсе: показывает активные сетевые соединения в режиме реального времени и трафик каждого из них по отдельности.
• Работает только на Unix и Linux системах.

Установка

Для установки утилиты понадобятся root-права. 

Использование

Утилиту необходимо запускать из-под пользователя root или с правами sudo. По умолчанию iftop будет использовать первый сетевой интерфейс в системе (например, с именем eth0).

Примеры использования:

• Мониторинг конкретного интерфейса (например, eth0):

sudo iftop -i eth0

• Отключение DNS-разрешения имён:

sudo iftop -n

• Отображение трафика в байтах (вместо бит/с):

sudo iftop -B

• Сохранение результатов в файл:

sudo iftop -t > results.log

Для завершения записи нажмите клавишу q.

Основная задача iftop — одновременный мониторинг множества сетевых соединений. Например, во время DDoS-атаки эта утилита позволяет обнаружить сразу несколько источников атаки (в отличие от nload, который показывает только общую статистику).

Для выявления соединений, создающих повышенную нагрузку на сервер, можно применять фильтры по IP-адресам и портам.

Чтобы отфильтровать трафик по IP-адресам источников, используйте команды:

iftop -i eth0 -f "src host 194.60.132.117"

iftop -i eth0 -f "src host 185.39.206.174"

Также можно отфильтровать трафик, используя порт:

iftop -i eth0 -f "port 80"

Сравнение nload и iftop

Nload и iftop — разные инструменты, но они могут работать в паре и дополнять друг друга.

Выводы: nload предоставляет общую картину по трафику, а iftop — детали по конкретным соединениям. Поэтому nload подходит для быстрого обзора, iftop — для диагностики проблем.

Другие инструменты для анализа сетевого трафика 

Bmon — отображает графическую статистику, поддерживает фильтрацию по протоколам, портам и хостам. Но в отличие от nload, поддерживает несколько интерфейсов одновременно.

Iptraf-ng — утилита для мониторинга сетевого трафика, которая предоставляет информацию о входящих и исходящих соединениях.

Nethogs — отражает трафик по каждому отдельному запущенному процессу в системе, а не по интерфейсам. Используется, когда необходимо найти приложение или сервис, которое потребляет наибольшее количество сетевого трафика.

Ntopng — продвинутая программа со встроенным веб-интерфейсом для детального анализа, который включает мониторинг сетевого трафика в реальном времени, статистику по хостам, потокам и протоколам, выявление приложений (на уровне L7) при помощи библиотеки nDPI, обнаружение аномалий и уязвимостей.

Bwm-ng — компактная утилита, для мониторинга сетевого трафика в реальном времени, схожая по функциональности с nload. Поддерживает ASCII-графики для быстрой диагностики состояния сети.

Заключение

Подводя итоги, можно с уверенностью утверждать, что мониторинг сетевого трафика — критически важная задача для поддержания производительности и безопасности IT-инфраструктуры. Выделим несколько ключевых моментов:

• Главное отличие двух рассмотренных инструментов заключается в уровне детализации: nload показывает общий трафик на интерфейсе, iftop — детализирует трафик по соединениям.
• Главный критерий выбора — задача: nload идеален для быстрой оценки загрузки канала, iftop — для диагностики проблем и поиска сервисов, с повышенным потреблением трафика.
• Оба инструмента эффективны, потребляют мало ресурсов и отлично работают в паре, предоставляя полную картину происходящего в сети.