Мониторинг сетевого трафика Linux

Зачем нужен мониторинг сетевого трафика

Мониторинг трафика помогает понять, кто использует пропускную способность, где возникают узкие места и как ведут себя сервисы в пиковые моменты. Для быстрого анализа в терминале достаточно лёгких утилит, которые не требуют графического интерфейса и обычно доступны в репозиториях.

Важно: терминальные утилиты подходят для оперативной диагностики и локального наблюдения. Для долгосрочного централизованного мониторинга полезны системы вида Prometheus, Grafana или Zabbix.

Основные инструменты и примеры использования

Nload

Nload визуализирует входящий и исходящий трафик в двух отдельных графиках. Показывает текущую, среднюю, минимальную и максимальную скорость, а также общий объём переданных данных.

Установка:

sudo apt-get install nload

Запуск:

sudo nload

Вывод: сравнивает графики входящего и исходящего трафика по выбранному интерфейсу.

Вывод nload в терминале Ubuntu с графиками входящего и исходящего трафика

Iptraf

Iptraf — ncurses-инструмент для мониторинга LAN. Отображает соединения по IP, количество переданных байт и пакетов, статистику по протоколам и портам.

Установка:

sudo apt-get install iptraf

Запуск:

sudo iptraf

Применение: удобен для быстрой проверки активных соединений и распределения трафика между хостами.

Интерфейс iptraf в терминале с таблицами подключений и статистикой

Vnstat

Vnstat работает как демон и ведёт журнал трафика по интерфейсам. Это инструмент для сохранённой статистики и построения отчётов за дни, месяцы и годы.

Установка:

sudo apt-get install vnstat

Базовый просмотр статистики:

sudo vnstat

Режим реального времени для интерфейса wlan0:

sudo vnstat -l -i wlan0

Плюсы: низкая нагрузка, хранение истории, простые отчёты. Минусы: не показывает подробных активных соединений.

Вывод vnstat с накопленной статистикой по интерфейсу

Speedometer

Speedometer рисует графики текущей скорости передачи и приёма. Подходит для контроля скорости конкретного файла или интерфейса.

Установка:

sudo apt-get install speedometer

Запуск на интерфейсе wlan0:

sudo speedometer -r wlan0 -t wlan0

Можно применять для контроля производительности загрузок и тестирования ограничений канала.

График скорости в speedometer для интерфейса wlan0

Iftop

Iftop слушает трафик на интерфейсе и показывает таблицу текущего использования полосы пропускания по парам хостов. Использует библиотеку pcap для сниффинга пакетов.

Установка:

sudo apt-get install iftop

Запуск без попыток разрешения имён:

sudo iftop -n

Полезно, когда нужно быстро увидеть, какие хосты потребляют трафик, и оценить временные пики.

Таблица iftop с источниками и получателями трафика и процентами использования

Быстрая шпаргалка команд

Инструмент	Установка	Запуск	Короткое описание
nload	sudo apt-get install nload	sudo nload	Графики входящего/исходящего трафика
iptraf	sudo apt-get install iptraf	sudo iptraf	Подробные соединения и статистика LAN
vnstat	sudo apt-get install vnstat	sudo vnstat / sudo vnstat -l -i	Демон, хранит историю трафика
speedometer	sudo apt-get install speedometer	sudo speedometer -r -t	График скорости передачи/приёма
iftop	sudo apt-get install iftop	sudo iftop -n	Таблица использования пропускной способности

Совет: для большинства утилит требуются права root или чтение RAW-пакетов. Запускайте через sudo.

Когда эти инструменты не подходят

Если нужна высокая детализация пакетов и глубокий сетевой анализ — используйте tcpdump или Wireshark.
Для централизованного мониторинга нескольких хостов и долгосрочных трендов нужны системы метрик и экспортеры.
Если требуется учет по пользователям приложения на уровне HTTP/HTTPS, лучше интегрировать мониторинг в прокси или APM.

Альтернативные подходы

Агентные системы: Collectd, Telegraf с отправкой в InfluxDB или Prometheus.
SNMP и RMON для сетевого оборудования.
Сниффинг и хранение пакетов в ELK-стеке для последующего анализа.

Руководство для разных ролей

Системный админ: используйте vnstat для истории и iftop для оперативной проверки.
Сетевая команда: iptraf и tcpdump для диагностики межсетевых проблем.
ДевОпс/разработчик: speedometer и nload для оценки влияния релиза на полосу пропускания.

Миниметодика быстрого расследования (5 шагов)

Проверить суммарную загрузку интерфейса: vnstat или nload.
Проверить активные соединения: iptraf.
Узнать, какие хосты потребляют трафик: iftop.
При необходимости зафиксировать пакеты: tcpdump.
Проанализировать историю и поставить мониторинг на алерты.

Критерии приёмки

Видна текущая скорость входящего и исходящего трафика.
Можно идентифицировать топ потребителей трафика по IP/хостам.
Имеется возможность получить исторические данные по интерфейсу.
Инструмент не вызывает существенной нагрузки на сервер при мониторинге.

Тестовые сценарии и приемка

Запустить утилиту на тестовом интерфейсе и создать трафик сгенерированными потоками. Убедиться, что скорость отображается адекватно.
Сравнить показания с внешним тестом скорости или счётчиком маршрутизатора для верификации.
Проверить, что при отключении интерфейса утилита корректно сообщает об ошибке.

Примеры отказов и ограничения

Утилиты зависят от прав доступа и библиотек pcap. Без прав root часть функций недоступна.
Vnstat не даёт детальной информации об отдельных соединениях, только агрегаты.
Iftop и iptraf могут быть шумными в среде с большим количеством соединений.

Факто-бокс: что помнить

Для быстрой диагностики достаточно nload и iftop.
Для длительной истории — vnstat.
Для глубокого анализа пакетов — tcpdump/Wireshark.
Все утилиты доступны в стандартных репозиториях Debian/Ubuntu.

Заключение

Терминальные сетевые утилиты — быстрый и надёжный способ понять текущее состояние сети и ответить на вопросы об использовании полосы пропускания. Выберите инструмент под задачу: реальное время, история или детальный анализ соединений. Для комплексного мониторинга стоит сочетать эти утилиты с централизованными системами метрик.

Краткое резюме: