寻找基于主机的网络监控解决方案

Question

嗨大家好！

问题

因此，我的托管公司为我的专用服务器提供了一个网络使用图表。这个月早些时候的一天，我的网络使用量突然猛增，传输了几百兆字节(通常是几十兆，而不是几百兆)。可能是我，但我不知道是谁或者是什么。

问题

所以我的问题是，有没有人知道任何基于主机的监控网络使用的解决方案，可以告诉我客户端的IP地址，他/她使用的端口/服务？

我不想要的

我只是猜测有人会建议我使用nagios，munin，zabbix，at，mrtg --我也看过这些，但是关于网络使用的图表不会给出我想要的答案。:-)

就快到了

我已经看过很多监控解决方案，我已经尝试过ntophttp://www.ntop.org/](http://www.ntop.org/])，调黑器http://unix4lyfe.org/darkstat/](http://unix4lyfe.org/darkstat/])和其他解决方案。只是没有给我答案。尽管它列出了大量的统计数据，而且我可以列出客户端--但它并没有显示特定时期的网络使用情况。到目前为止，Ntop是我所见过的最好的，但我认为它主要显示的是当前的网络使用情况，而不是历史上的部分。我可以运行apt-get upgrade并下载大量软件，但之后不会在日志中看到它。

Answer 1

网流工具 + flow 生成器的某些类型将使您报告，您正在寻找。还有这。如果您对如何使用流工具生成所需的报表感到困惑，则可以启动这里。

Answer 2

您提到了ntop，我认为它可能是您所拥有的查询类型的最佳答案。我以“视需要”的方式运行ntop，而不是一直让它继续运行。

如果你对如何再现流量的激增有任何想法，我会先从ntop开始，然后注意你的传统带宽图。一旦您重新创建了问题，切换到ntop的接口，这给您提供了几种方法“向下钻”的数据。您的问题主机应该很容易发现。

Answer 3

对于临时监测，我建议使用iptraf。它显示了所有当前打开的IP地址连接以及两个方向上的数据包和字节数。然而，它并不支持历史数据(据我所知，但也许其他人对此了解更多)。

您可以尝试使用tcpdump捕获通信量。您可能必须将捕获大小限制在最低限度，然后使用wireshark或其他可以分析pcap的工具尝试分析这些数据。