iptraf命令

‘壹’ linux服务查看攻击者的IP的命令是什么

这个涉及到入侵检测类

如果木马是潜伏期，比较复杂，一时半会给你讲不清楚

如果木马是活动期，正在大流量发包，

方法如下

1、iptraf -f，然后 选IP traffic monitor

指定你的网卡

会看到很多对应关系，这样就可以找到发包最大的IP对应关系出来

2、netstat -tuanp |grep 大流量ip ，会得到对应进程

3、iptables限制其出网

4、kill并删除对应进程，然后查看/etc/rc.d 有没有被注东西，包括chkconfig等，所有系统自起的全看看，，详细的可以查询一下入侵检测部分时间有限不一 一说了

‘贰’ 在Linux下怎么看网络流量

1. 使用 iptraf
iptraf是一个实时查看网络流量的文本屏幕界面工具。
如果系统没有安装
如果是 RHEL，那么就去找安装盘中的 iptraf*.rpm 包安装；
如果是 CentOS，那么用 yum install -y iptraf 进行安装
iptraf是一个文本全屏幕界面，操作起来比较简单明了。最好使用 putty 来看，SecureCRT可能显示乱码。
它提供了很多统计方式：
（1）IP traffic monitor
（2）General interface statistics
（3）Detailed interface statistics
如果跟上 -B 参数，还可以后台执行，把数据保存到文件中，位于 /var/log/iptraf 目录。
2. sar
如果系统没有安装，
如果是 RHEL，那么就去安装盘中找 sysstat*.rpm 包安装；
如果是 CentOS，那么用 yum install -y sysstat 安装。
sysstat是一个工具包,包含有几个很有用的系统检测程序,iostat,mpstat和sar.
Turbolinux的各个版本上,都包含这个工具包.
iostat用于输出CPU,I/O系统和磁盘分区的统计信息.可以用来分析磁盘I/O,带宽等信息.
mpstat用于输出CPU的各种统计信息. 可以用来分析程序运行时在内核态和用户态的工作情况.
sar用于定时搜集系统的各种状态信息.然后可以对系统各个时间点的状态进行监控.
sar有很多用途，如果要来监控网络流量，使用下面的命令行方式：
sar -n DEV interval count
其中，interval是统计时间间隔，以秒为单位；count是总共统计几次，如果为0就不断的统计直到 Ctrl+C 打断，否则执行count次就退出。
比如：sar -n DEV 1 4
比如：sar -n DEV 10 0
IFACE：LAN接口
rxpck/s：每秒钟接收的数据包
txpck/s：每秒钟发送的数据包
rxbyt/s：每秒钟接收的字节数
txbyt/s：每秒钟发送的字节数

‘叁’ 如何用命令查看linux的网卡吞吐量或最大网卡流量

linux查看网卡吞吐量和网卡流量用自带命令，iptraf查看。

1 命令行直接输入：iptraf（如果没有，使用yum install iptraf安装）

此外还有很多工具命令可以查看：

watch命令：

watch -n 1 "/sbin/ifconfig eth0 | grep bytes"。