Comment suivre l'utilisation du LAN? (AKA 'top pour LAN')

Il y a une mauvaise application qui consomme TOUTE ma bande passante de téléchargement (je suis brésilienne, c'est seulement ~ 35 kbps) pendant 80% du temps, mon PC est allumé.

Je voudrais savoir s'il existe un moyen de suivre cette utilisation et de découvrir quelle application le fait.

Et les nethogs ? À mon avis, c'est beaucoup plus humain. Répertorie les commandes / programmes utilisant le réseau et la quantité de bande passante pour chacun d'eux, en temps réel.

Installez-le dans les systèmes ubuntu / debian avec:

sudo apt-get install nethogs

Exécutez-le pour surveiller votre interface réseau comme ceci:

sudo nethogs eth0

iftopest un programme basé sur console / shell similaire à top qui peut utiliser la bibliothèque pcap (également utilisé par tcpdump et wirehark). Il est disponible pour Ubuntu depuis Universe.

sudo aptitude install iftop
sudo iftop

Lors de l'exécution d'une mise à niveau sur un système ubuntu:

Avec netstat, vous pouvez savoir quel processus est connecté à un port ou IP particulier. Pour les ports, c'est une bonne idée de préfixer avec deux points.

sudo netstat -plantu | grep "some_port_number_or_ip_address"

Par exemple, pour regarder les connexions ouvertes pour ssh:

sudo netstat -plantu | grep :22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2376/sshd       
tcp        0      0 10.13.37.122:22         10.13.37.105:59130      ESTABLISHED 4033/sshd: jtimberm
tcp6       0      0 :::22                   :::*                    LISTEN      2376/sshd 

Vous pouvez également rechercher des connexions de port ouvertes avec lsof:

sudo lsof -i:22
COMMAND  PID       USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    2376       root    3u  IPv4   5613      0t0  TCP *:ssh (LISTEN)
sshd    2376       root    4u  IPv6   5615      0t0  TCP *:ssh (LISTEN)
sshd    4033       root    3u  IPv4  11608      0t0  TCP 10.13.37.122:ssh->10.13.37.105:59130 (ESTABLISHED)
sshd    4086 jtimberman    3u  IPv4  11608      0t0  TCP 10.13.37.122:ssh->10.13.37.105:59130 (ESTABLISHED)

Vous pouvez obtenir plus d'informations sur les fichiers ouverts à partir de lsof avec -p PID.

sudo lsof -p 2376

(Beaucoup de sortie de celle supprimée)

ntop est votre ami. Les packages sont dans les dépôts linux et macports.

En plus d'utiliser iftop pour identifier l'adresse et le port utilisant la bande passante, vous pouvez utiliser netstat pour identifier le processus

sudo netstat -ntp

Cela montrera toutes les connexions TCP ouvertes et le nom / id du processus attaché à chacune.

À mon avis, l'interface utilisateur d'iftop n'est pas bien conçue. En pratique, il n'est presque jamais nécessaire de visualiser les adresses IP ou les noms d'hôte en temps réel. Si j'avais besoin d'une liste de toutes les connexions actuelles, j'irais avec netstat comme l'explique jtimberman.

Pour mes besoins, bmon est mieux adapté que iftop. Il a une interface utilisateur très simpliste avec prise en charge de plusieurs interfaces et dessin de "graphiques". Voici une capture d'écran:

Si vous n'avez pas besoin de toutes les fonctionnalités offertes par bmon, bwm-ng pourrait être l'outil parfait pour vous. Il ne montre que la bande passante actuellement occupée par interface - ni plus ni moins:

nload est un excellent outil pour surveiller la bande passante en temps réel et facilement installé dans Ubuntu ou Debian avec sudo apt-get install nload.

Device eth0 [10.10.10.5] (1/2):
=====================================================================================
Incoming:


                               .         ...|    
                               #         ####|   
                           .. |#|  ...   #####.         ..          Curr: 2.07 MBit/s
                          ###.###  #### #######|.     . ##      |   Avg: 1.41 MBit/s
                         ########|#########################.   ###  Min: 1.12 kBit/s
             ........    ###################################  .###  Max: 4.49 MBit/s
           .##########. |###################################|#####  Ttl: 1.94 GByte
Outgoing:
            ##########  ###########    ###########################
            ##########  ###########    ###########################
            ##########. ###########   .###########################
            ########### ###########  #############################
            ########### ###########..#############################
           ############ ##########################################
           ############ ##########################################
           ############ ##########################################  Curr: 63.88 MBit/s
           ############ ##########################################  Avg: 32.04 MBit/s
           ############ ##########################################  Min: 0.00 Bit/s
           ############ ##########################################  Max: 93.23 MBit/s
         ############## ##########################################  Ttl: 2.49 GByte

Un autre excellent outil est iftop , également facilement accessible:

             191Mb      381Mb                 572Mb       763Mb             954Mb     
└────────────┴──────────┴─────────────────────┴───────────┴──────────────────────
box4.local            => box-2.local                      91.0Mb  27.0Mb  15.1Mb
                      <=                                  1.59Mb   761kb   452kb
box4.local            => box.local                         560b   26.8kb  27.7kb
                      <=                                   880b   31.3kb  32.1kb
box4.local            => userify.com                         0b   11.4kb  8.01kb
                      <=                                  1.17kb  2.39kb  1.75kb
box4.local            => b.resolvers.Level3.net              0b     58b    168b
                      <=                                     0b     83b    288b
box4.local            => stackoverflow.com                   0b     42b     21b
                      <=                                     0b     42b     21b
box4.local            => 224.0.0.251                         0b      0b    179b
                      <=                                     0b      0b      0b
224.0.0.251           => box-2.local                         0b      0b      0b
                      <=                                     0b      0b     36b
224.0.0.251           => box.local                           0b      0b      0b
                      <=                                     0b      0b     35b


─────────────────────────────────────────────────────────────────────────────────
TX:           cum:   37.9MB   peak:   91.0Mb     rates:   91.0Mb  27.1Mb  15.2Mb
RX:                  1.19MB           1.89Mb              1.59Mb   795kb   486kb
TOTAL:               39.1MB           92.6Mb              92.6Mb  27.9Mb  15.6Mb

N'oubliez pas les utilitaires classiques et puissants de sar et netstat sur les anciens * nix!

Wireshark est également une très bonne application (multiplateforme) pour surveiller le trafic réseau. Voici une description du site:

Wireshark est le premier analyseur de protocole de réseau au monde et est la norme de facto (et souvent de jure) dans de nombreux secteurs et établissements d'enseignement.

Vous pouvez le faire au niveau du routeur en fonction de votre firmware. Par exemple, si vous utilisez DD-WRT , vous pouvez suivre l'utilisation au fil du temps et par machine.

Installez un pare-feu et, au moins temporairement, faites-le bloquer toutes les connexions sortantes. Il devrait vous avertir lorsque quelque chose tente d'établir une connexion, auquel cas vous devriez avoir votre coupable :-)

voici l'un des nombreux articles en ligne qui vous donne des informations sur l'installation d'un pare-feu sur ubuntu:
http://linux.com/news/enterprise/systems-management/8256-installing-a-firewall-on-ubuntu