最近要去一個工廠排查網絡和電腦卡頓的問題,為此，我準備了以下的方案，在現場以抓包和網絡監控的方式來排查。

1.評估流程

為了評估Linux系統的網絡負荷，并使用tcpdump來捕獲數據包進行分析，您需要遵循以下幾個步驟：

1.1 安裝工具

確保您的系統中已安裝tcpdump。如果沒有安裝，可以使用包管理器安裝它。例如，在Debian或Ubuntu上，你可以使用以下命令：

sudo apt-get update sudo apt-get install tcpdump

1.2 監控網絡接口

在開始捕獲之前，您需要知道哪個網絡接口需要監控。可以使用ip或ifconfig命令查看系統的接口列表：

ip link show

???或者（如果您的系統還支持ifconfig）：

ifconfig -a

1.3 使用tcpdump捕獲數據包:

一旦您知道了要監控的網絡接口，可以使用tcpdump來捕獲數據包。為了減少負荷并且只獲取您需要的信息，您應該使用過濾器。例如，以下命令將只捕獲所有進出指定接口的TCP流量：

sudo tcpdump -i eth0 tcp

???替換eth0為您要監控的實際接口名稱。

1.4 限制捕獲尺寸

長時間運行tcpdump可能會生成大量數據。為了減少影響和存儲需求，您可以限制捕獲的尺寸或持續時間：

sudo tcpdump -i eth0 tcp -C 100 -W 10 -w capture.pcap

???這個命令會限制每個文件最大100MB，并且只保留最新的10個文件。-w選項指定了文件的前綴。

1.5 分析捕獲的數據包

一旦捕獲了數據包，您可以使用像Wireshark這樣的工具來進行更詳細的分析。tcpdump的輸出文件（在上面的例子中是capture.pcap）可以直接用Wireshark打開。

1.6 使用輕量級命令監控

如果您只是想要監控實時的網絡負荷而不進行深入的數據包分析，您可以使用像iftop或nload這樣的輕量級工具。這些工具可以實時顯示網絡使用情況，但不會捕獲實際的數據包內容。

???安裝iftop或nload的命令通常如下：

sudo apt-get install iftop

???或者

sudo apt-get install nload

???然后可以運行iftop或nload來觀察實時的網絡流量。

1.7 定期監控與分析

如果您需要定期監控網絡負荷并生成報告，可以使用cron作業來安排tcpdump運行，并使用腳本來處理和分析生成的.pcap文件。

請記住，捕獲網絡流量可能會受到公司政策或當地法律的限制。確保您有權執行這些操作，并且捕獲的數據遵守隱私和安全規范。

2.iftop使用方法

iftop?是一個實時的網絡帶寬監控工具。它顯示一個類似于top的界面，列出當前系統上的網絡連接和它們的帶寬使用情況。以下是如何使用 iftop?的基本步驟和說明：

2.1 安裝iftop

如果尚未安裝 iftop，您可以通過系統的包管理器進行安裝。在基于Debian的系統上，使用以下命令：

sudo apt-get update sudo apt-get install iftop

2.2 運行iftop

要運行 iftop，只需在終端中輸入以下命令：

sudo iftop

???這將在默認的網絡接口上顯示網絡流量。

2.3 指定網絡接口

如果您想監視特定的網絡接口，可以使用 -i?選項來指定接口。例如，要監視 eth0?接口，您可以運行：

sudo iftop -i eth0

???替換 eth0?為您想要監控的實際接口名稱。

2.4 使用iftop顯示選項

iftop?提供了多種顯示選項，例如，可以通過按下以下鍵來控制 iftop?的顯示輸出：

• P：顯示或隱藏端口信息

• n：顯示或隱藏主機名（反向解析主機名可能會稍微增加資源使用）

• t：切換顯示模式（兩行/一行）

• T：切換顯示累計流量

• j?和 k：在連接列表中向下或向上移動

• >?和 <：改變排序順序

• q：退出 iftop

2.5 過濾流量

您可以使用過濾器來顯示與特定主機或服務相關的流量。例如，只監視與IP地址 192.168.1.1?相關的流量：

sudo iftop -i eth0 -F 192.168.1.1

iftop?需要root權限來運行，因為它需要訪問網絡接口和捕獲數據包。如果您對 iftop?的更多高級功能感興趣，可以查看其手冊頁以獲取詳細的使用說明：

man iftop

請記住，在某些系統上，您可能需要使用 sudo?來授予 iftop?必要的權限。另外，請確保您有權查看網絡流量，并且您的行為符合任何相關的法律和政策要求。

3.iftop高級應用:快捷鍵指南

P?- 切換暫停/繼續顯示網絡流量。 h?- 在交互參數界面和狀態輸出界面之間切換。 b?- 切換是否顯示平均流量圖形條。 B?- 切換顯示2秒、10秒、40秒內的平均流量。 T?- 切換是否顯示每個連接的總流量。 j/k?- 使用 j 鍵或 k 鍵向上或向下滾動屏幕顯示當前的連接信息。 l?- 打開 iftop 輸出過濾功能，輸入 IP 地址后，只顯示與該 IP 相關的流量信息。 L?- 切換顯示流量刻度范圍，刻度不同，流量圖形條會跟著變化。 q?- 退出 iftop 流量監控界面。 n?- 切換 iftop 輸出結果以 IP 或主機名的方式顯示。 s?- 切換是否顯示源主機信息。 d?- 切換是否顯示遠端目標主機信息。 t?- 切換 iftop 顯示格式，連續按此鍵可依次顯示：以兩行顯示發送接收流量、以一行顯示發送接收流量、只顯示發送流量/接收流量。 N?- 切換顯示端口號/端口號對應服務名稱。 S?- 切換是否顯示本地源主機的端口信息。 D?- 切換是否顯示遠端目標主機的端口信息。 p?- 切換是否顯示端口信息。 1/2/3?- 根據最近 2 秒、10 秒、40 秒的平均網絡流量排序。 <?- 根據左邊的本地主機名或 IP 地址進行排序。 >?- 根據遠端目標主機的主機名或 IP 地址進行排序。 o?- 切換是否固定顯示當前的連接。

高級應用:https://blog.csdn.net/qq_40907977/article/details/115066452