iptraf命令

『壹』 linux服務查看攻擊者的IP的命令是什麼

這個涉及到入侵檢測類

如果木馬是潛伏期，比較復雜，一時半會給你講不清楚

如果木馬是活動期，正在大流量發包，

方法如下

1、iptraf -f，然後 選IP traffic monitor

指定你的網卡

會看到很多對應關系，這樣就可以找到發包最大的IP對應關系出來

2、netstat -tuanp |grep 大流量ip ，會得到對應進程

3、iptables限制其出網

4、kill並刪除對應進程，然後查看/etc/rc.d 有沒有被注東西，包括chkconfig等，所有系統自起的全看看，，詳細的可以查詢一下入侵檢測部分時間有限不一 一說了

『貳』 在Linux下怎麼看網路流量

1. 使用 iptraf
iptraf是一個實時查看網路流量的文本屏幕界面工具。
如果系統沒有安裝
如果是 RHEL，那麼就去找安裝盤中的 iptraf*.rpm 包安裝；
如果是 CentOS，那麼用 yum install -y iptraf 進行安裝
iptraf是一個文本全屏幕界面，操作起來比較簡單明了。最好使用 putty 來看，SecureCRT可能顯示亂碼。
它提供了很多統計方式：
（1）IP traffic monitor
（2）General interface statistics
（3）Detailed interface statistics
如果跟上 -B 參數，還可以後台執行，把數據保存到文件中，位於 /var/log/iptraf 目錄。
2. sar
如果系統沒有安裝，
如果是 RHEL，那麼就去安裝盤中找 sysstat*.rpm 包安裝；
如果是 CentOS，那麼用 yum install -y sysstat 安裝。
sysstat是一個工具包,包含有幾個很有用的系統檢測程序,iostat,mpstat和sar.
Turbolinux的各個版本上,都包含這個工具包.
iostat用於輸出CPU,I/O系統和磁碟分區的統計信息.可以用來分析磁碟I/O,帶寬等信息.
mpstat用於輸出CPU的各種統計信息. 可以用來分析程序運行時在內核態和用戶態的工作情況.
sar用於定時搜集系統的各種狀態信息.然後可以對系統各個時間點的狀態進行監控.
sar有很多用途，如果要來監控網路流量，使用下面的命令行方式：
sar -n DEV interval count
其中，interval是統計時間間隔，以秒為單位；count是總共統計幾次，如果為0就不斷的統計直到 Ctrl+C 打斷，否則執行count次就退出。
比如：sar -n DEV 1 4
比如：sar -n DEV 10 0
IFACE：LAN介面
rxpck/s：每秒鍾接收的數據包
txpck/s：每秒鍾發送的數據包
rxbyt/s：每秒鍾接收的位元組數
txbyt/s：每秒鍾發送的位元組數

『叄』 如何用命令查看linux的網卡吞吐量或最大網卡流量

linux查看網卡吞吐量和網卡流量用自帶命令，iptraf查看。

1 命令行直接輸入：iptraf（如果沒有，使用yum install iptraf安裝）

此外還有很多工具命令可以查看：

watch命令：

watch -n 1 "/sbin/ifconfig eth0 | grep bytes"。