本文适用
流量异常，需定位哪个应用程序
一、windows 排查方法
1. #查看网络连接
netstat -b -n (管理员身份)
2. #查看有哪些可疑网络连接、并确定pid
netstat -ano
3. #根据pid 确定是哪个进程
tasklist | findstr xxx
4. #确定此进程的用途以及可否杀死
taskkill /T /F /PID 3036
二、linux排查方法
0x01工具介绍
Iftop工具主要用来显示本机网络流量情况及各相互通信的流量集合，如单独同哪台机器间的流量大小，非常适合于代理服务器和iptables服务器使 用，这样可以方便的查看各客户端流量情况。iftop可以在类Unix系统中可以使用top查看系统资源、进程、内存占用等信息。查看网络状态可以使用netstat、nmap等工具。若要查看实时的网络流量，监控TCP/IP连接等，则可以使用iftop。


要查看这台设备上的总体带宽情况，可以使用nload、iftop、ifstat工具。
要查看这台设备上的每个进程连接的带宽情况，可以使用nethogs工具。


0x02手工查看
用netstat -tunlp  可以查看哪些端口连接网络
另外一个和netstat差不多的命令nmap localhost:
利用chkconfig -list查看一下开机启动的服务


#连接本地80端口流量最大的前10个ip，一般遭ddos攻击的时候比较有用
tcpdump -i eth0 -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -10


0x03iftop安装使用
官网：http://www.ex-parrot.com/~pdw/iftop/


1.安装库文件，需要 libpcap 及 libcurses 。
yum install -y flex byacc libpcap ncurses ncurses-devel libpcap-devel


2.下载并安装，目前最新版是0.17
cd /usr/local/
wget http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.17.tar.gz
tar zvfx iftop-0.17.tar.gz
cd iftop-0.17
./configure --prefix=/usr/local/iftop
make && make install
cp /usr/local/iftop/sbin/iftop /bin


3.运行iftop(必须以root身份)
iftop
监控某网卡
iftop -i eth0 -n
同时显示是什么服务
iftop -i eth0 -n -P
更详细的参数可以iftop -h查看


0x04 nethogs 安装与使用
官网 http://nethogs.sourceforge.net/
1.常规安装
1.1 yum  -y install nethogs
1.2 apt-get install nethogs
1.3 源码包安装 wget http://sourceforge.net/projects/nethogs/files/nethogs/0.8/nethogs-0.8.0.tar.gz/download
可能会遇到报错
1.3.1 安装之前需要先 yum install ncurses*
1.3.2 make 出错，yum install libpcap-dev libncurses5-dev


2.安装成功后
使用帮助
[root@localhost ~]# nethogs --help  
nethogs: invalid option -- '-'  
usage: nethogs [-V] [-b] [-d seconds] [-t] [-p] [device [device [device ...]]]  
        -V : 显示版本信息，注意是大写字母V.  
        -d : 延迟更新刷新速率，以秒为单位。默认值为 1.  
        -t : 跟踪模式.  
        -b : bug 狩猎模式 — — 意味着跟踪模式.  
        -p : 混合模式（不推荐）.  
        设备 : 要监视的设备名称. 默认为 eth0  
  
当 nethogs 运行时, 按:  
 q: 退出  

 m: 总数和当前使用情况模式之间切换

点击将有更多机房选择