O comando netstat
só pode informar quais conexões estão abertas no momento, mas não quanto tráfego cada uma enviou e recebeu. Para descobrir quais conexões estão transferindo a maioria dos dados, você precisaria usar outras ferramentas que poderiam, por exemplo, ser iftop
ou tcpdump
.
O que você faz a seguir depende muito da vida útil de cada conexão e de qual terminal estabeleceu a conexão. Se o seu fim é o servidor, então você deve ser capaz de identificar o socket de escuta pertencente ao processo do servidor.
Se, de fato, for um processo httpd
(como você parece sugerir na sua pergunta), o log de acesso do servidor da Web é o local a ser exibido. Uma ressalva a ter em mente é que cada solicitação é registrada apenas quando a transferência para essa solicitação é concluída. Isso pode fazer uma diferença significativa se você estiver veiculando arquivos, que têm muitos MB.
Se o seu destino for o cliente, você não verá soquetes de escuta, mas caso as conexões sejam de longa duração, você poderá encontrar as conexões e o processo correspondente usando netstat
, depois de confirmar qual conexão está consumindo largura de banda.
Se a investigação descrita acima levar você a descobrir que a maioria do tráfego acontece em conexões de curta duração estabelecidas a partir do seu fim, então netstat
não é suficiente para identificar qual processo é responsável. Esse cenário específico foi abordado em uma pergunta mais antiga .