Monitora o número de bytes transferidos de / para o endereço IP na porta

17

Alguém pode recomendar uma ferramenta de linha de comando do Linux para monitorar o número de bytes transferidos entre o servidor local e um endereço IP / porta especificados.

O comando tcpdump equivalente seria:

tcpdump -s 0 -i any -w mycapture.trc port 80 host google.com

quais saídas:

46 packets captured
131 packets received by filter
0 packets dropped by kernel

Eu gostaria de algo parecido com os resultados:

54 bytes out, 176 bytes in

Gostaria que funcionasse no RHEL e fosse gratuito / de código aberto. Seria bom se houvesse uma ferramenta existente que eu estava perdendo também!

    
por Mike 28.10.2010 / 19:55

4 respostas

13

Você pode usar o iptables. Se você ainda não estiver usando, use uma configuração Aceitar aberta, mas tenha uma regra para fazer a contagem.

Por exemplo, no RHEL, o arquivo /etc/sysconfig/iptables pode ser parecido com:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -j INPUT
-A INPUT -s 10.10.1.1 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -d 10.10.1.1 -p tcp -m tcp --dport 80 -j ACCEPT

Onde 10.10.1.1:80 é o host: porta para a qual você deseja contar tráfego (você não pode usar um nome de host). Você pode então verificar o tráfego contado com o comando iptables -nvxL como root.

Exemplo de saída:

Chain INPUT (policy ACCEPT 7133268 packets, 1057227727 bytes)
    pkts      bytes target     prot opt in     out     source               destination     
 7133268 1057227727 ACCEPT     tcp  --  *      *       10.10.1.1            0.0.0.0/0              tcp spt:80


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination     
       0          0 INPUT      all  --  *      *       0.0.0.0/0            0.0.0.0/0       

Chain OUTPUT (policy ACCEPT 7133268 packets, 1057227727 bytes)
    pkts      bytes target     prot opt in     out     source               destination     
 7133268 1057227727 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.10.1.1              tcp dpt:80
    
por 28.10.2010 / 20:14
7

Eu estava prestes a sugerir o wireshark (por causa de muitas conversas 'features'), mas não é uma ferramenta de linha de comando. Você pode tentar tshark , que é um analisador de linha de comando ferramenta que é fechada para wireshark. A saída deve ter (um pouco) o que você está procurando (exemplo abaixo):

tshark -R "ip.addr == 10.2.3.67" -z conv,ip -p -f "tcp port 22"

Resultado:

                                     |       <-      | |       ->      | |     Total     |
                                     | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
10.2.3.23           <-> 10.2.3.67        42     15341      35      4890      77     20231
    
por 28.10.2010 / 20:49
6

Existe também uma ferramenta chamada 'iftop' que exibe o uso da largura de banda em uma interface por host. Eu acho que iftop pode fazer o que você descreveu, mas normalmente sua interface é algo como 'top'.

Então, para o seu exemplo, acho que você pode criar um arquivo de configuração para fornecer seu código de filtro.

Então aqui está o meu código de filtro no meu arquivo de configuração.

$ cat /tmp/conf
filter-code: port http and host google.com

Em seguida, executei o seguinte para ver o tráfego da rede.

$ sudo iftop -c /tmp/conf

Não tenho certeza se essa é a melhor opção, mas certamente uma maneira de alcançar o que você precisa. HTH.

    
por 28.10.2010 / 20:57
3

Você também pode tentar "iptraf" é leve e simples. Ele pode filtrar por porta e fornece informações de alto nível, sem dados de carga útil, etc.

    
por 28.10.2010 / 22:25