Linux sistemlerde gerçek zamanlı ağ trafiğini ve band genişliğini izlemek.

Merhabalar;

Linux sistemlerde kablolu yada kablosuz ağ arabirimlerin trafiğini izlemek için bazı pratik yöntemler ve araçlar vardır. Bu yazıda iftop aracı ile ağ arabiriminizin trafiğini ve detaylarını nasıl izleyeceğinize değineceğim.

İftop aracını root yetkileriyle sistem paket deponuzdan aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.
# sudo apt-get install iftop -y



İftop aracının kullanımı oldukça basit gelen/giden trafiği dinlemek istediğiniz ağ kartınızı -i parametresini belirterek trafiğini dinleyebilirsiniz. Sisteminizdeki ağ kartlarını ifconfig komutunu kullanarak listeleyebilirsiniz.
# iftop -i [interface]

Herhangi bir ağ kartının trafiğini dinlerken iftop komutu parametresiz kullanıldığı zaman ip adreslerinin reverse edilmiş dns kaydını kontrol eder yukarıdaki resimde gördüğünüz üzere ama siz ip adreslerinin reverse edilmiş dns kaydını kontrol etmek istemiyorsanız yani sadece ip adresleri ve gelen/giden trafiği görmek isterseniz -n parametresini kullanabilirsiniz.
# iftop -i eth0 -n

Bir ağ kartının trafiğini dinlerken karşınıza listelenen ip adreslerinin hangi port numaralarını kullandıklarını görmek isterseniz bunu iki farklı yöntemle yapabilirsiniz. Aşağıdaki komutu kullanarak sadece port numaralarını bilinen isimleri ile görebilirsiniz. (Örneğin, port 80 yerine http gibi)
# iftop -i eth0 -P

Direkt olarak port numaralarını görebilmek için.
# iftop -i eth0 -P -N

İftop aracının bir diğer güzel özelliği ise protokol bazlı trafik dinleyebiliyor olmasıdır. Örneğin ICMP protokolüne ait ping istekleri ve band genişliği vb. istatistikleri görmek isterseniz aşağıdaki komuta -f parametresiyle birlikte dinlemek istediğiniz protokol ismini ekleyebilirsiniz.
# iftop -i eth0 -f 'icmp' -n



Yukarıdaki örnekte ICMP protokolüne ait trafiği nasıl görebiliriz bunu incelemiştik şimdiki örneğimizde yine aynı sadece bir kaç parametre ekleyerek dinlediğimiz trafiği nasıl daha anlaşılır hale getirebiliriz bunu inceleyelim. Aşağıdaki komutun anlamlarını açıklamak gerekirse iftop komutu ile eth0 arabirimine ait ve içerisinde sadece HTTP protokolüne ait trafiği dinlemesini istedik ardından -n parametresi ile ip adreslerinin reverse edilmiş dns kaydını çözmemesini sağladık daha sonra -P parametresini kullanarak trafiğin içerisinde geçen port numaralarının bilinen isimleri ile gözükmesini sağladık ve son parametremiz olan -N parametresini ekleyerek trafiğin içerisinde geçen portların isimleriyle değilde direkt olarak gözükmesini sağladık.
# iftop -i eth0 -f 'port http' -n -P -N















Herhangi bir ağ kartının trafiğini dinlerken sadece http ve https protokollerinin istatistiklerini görmek isterseniz aşağıdaki komutu kullanabilirsiniz. Anlaşılır olması amacıyla aşağıdaki komuta bir kaç parametre ekledim.
# iftop -i eth0 -f 'port (80 or 443)' -n -P -N

Kaynağı herhangi biri olan ve hedefi örneğin 192.168.0.1 ip adresine istek yapan bütün kullanıcıları, band genişliğini vb. istatistikleri görmek isterseniz ağ kartınızı -i parametresi ile belirttikten sonra -f parametresinden sonra yazmak istediğiniz ip adresini yazarak sadece yazdığınız ip adresine istek yapan kullanıcıların trafiğini görebilirsiniz.
# iftop -i eth0 -f 'dst host 192.168.0.1' -n

Yukarıdaki örneğimizin tam tersi olan yani kaynağı örneğin 192.168.0.100 ip adresi olan ve hedefi herhangi bir yere istek yapan kullanıcıya ait trafiği ve band genişliği gibi istatistikleri görmek isterseniz aşağıdaki komutu kullanabilirsiniz.
# iftop -i eth0 -f 'src host 192.168.0.100' -n

Varsayılan olarak iftop komutu parametresiz kullanıldığı zaman trafik oranlarını bit/sn olarak gösteriyor ama siz bunu bayt/sn olarak değiştirmek isterseniz -B parametresini kullanabilirsiniz.
# iftop -i eth0 -B -n

Bir ağ üzerindeki trafiği dinlerken konsol ekranında gözüken trafik ekran çubuk grafiğini kapatmak isterseniz -b parametresini kullanabilirsiniz. Aşağıdaki komutu kullandığınız zaman konsol ekranındaki üstte görünen grafik çizgisini kapatmış olacaksınız.
# iftop -i eth0 -b -n

Bir ağ üzerinde gelen/giden trafiği dinlerken o anki trafiği durdurup incelemek isterseniz trafiği anlık olarak dinlerken Shift+P kombinasyonuna basarsanız o anki trafiği durdurmuş olacaksınız.
# iftop -i eth0

Trafiğin yeniden başlaması için Shift+P kombinasyonuna tekrardan basabilirsiniz.

Kullanıcıların networke giriş ve çıkışlarını görüntülemek isterseniz -i parametresi ile dinlemek istediğiniz ağ kartınızı belirtiyorsunuz daha sonra -F parametresinde sonra ip adresi ve netmask değerini yazıyorsunuz tabiki bu ip adresi ve netmask değerini kendi network yapınıza göre ayarlamanız gerekiyor.
# iftop -i eth0 -F 192.168.0.0/24 -n

İftop aracını kullanırken her zaman konsol ekranından çıkıp kullandığınız komuta herhangi bir parametre eklemek bazen biraz yorucu gelebiliyor, aslında bunun daha pratik bir yöntemi var. Herhangi bir ağ kartının üzerindeki trafiği dinlerken anlık olarak h tuşuna basarsanız karşınıza iftop aracı hakkında bilgilendirme tablosu çıkacaktır bu tabloda hangi parametrelerin ne işe yaradıkları hakkında açıklamalar var. Karşınıza çıkan tablodaki herhangi bir tuşa basın örneğin n tuşuna bastığınız zaman trafik üzerinde listelenen ip adreslerinin reverse edilmiş dns kayıtlarının çözümlemesini on veya off yapmış olacaksınız ben bir tane örnek verdim siz bunu bir çok örnekle çoğaltabilirsiniz. Yani anlatmak istediğim herhangi bir ağ üzerindeki trafiği dinlerken konsol ekranından çıkıp kullandığınız komuta herhangi bir parametre eklemektense trafik üzerinde anlık olarak değişiklik yapmanız daha kolay olacaktır.
# iftop -i eth0

Örneğin n tuşuna bastıktan sonra (DNS resolution off)

Örneği tekrardan n tuşuna bastıktan sonra (DNS resolution on)