Linux怎么查看特定端口的流量统计-linux运维-PHP中文网

使用iptables可精确统计特定端口的累计流量，通过添加INPUT和OUTPUT规则并查看其计数器实现；若需实时监控，则推荐iftop或nethogs；为确保规则重启后生效，需在Debian/Ubuntu上使用iptables-persistent，在RHEL/CentOS上保存至配置文件；此外，结合sar、vnstat、nethogs、tcpdump等工具可全面监控网络性能。

linux怎么查看特定端口的流量统计

想在Linux上快速查看特定端口的流量统计？我的经验是，

iptables

登录后复制

是获取精确、累计流量数据最直接也最可靠的方法。它能在内核层面帮你统计到进出特定端口的包和字节数。当然，如果你只是想实时看看当前有哪些流量在跑，

iftop

登录后复制

或者

nethogs

登录后复制

这样的工具会更直观、更方便。

解决方案

要统计特定端口的流量，我们通常会利用

iptables

登录后复制

的计数功能。这个工具非常强大，不仅能做防火墙，还能精确地统计符合特定规则的数据包。

具体来说，你可以为目标端口添加两条不影响实际转发的计数规则。比如，我们要统计8080端口的TCP流量：

添加计数规则： 为了不干扰现有防火墙策略，我们通常将这些规则添加到链的末尾，或者创建专门的计数链。但为了快速获取统计，直接追加到
```
INPUT
```
登录后复制
和
```
OUTPUT
```
登录后复制
链是可行的，只要确保它们不被前面的
```
DROP
```
登录后复制
或
```
REJECT
```
登录后复制
规则阻止。
```
# 统计进入8080端口的TCP流量
sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

# 统计从8080端口发出的TCP流量
sudo iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT
```
登录后复制
这里我用了
```
-j ACCEPT
```
登录后复制
，实际上它只是允许流量通过，但更重要的是，在它被匹配时，
```
iptables
```
登录后复制
会自动更新该规则的包和字节计数。如果你不想影响任何现有的防火墙逻辑，可以创建一个自定义链专门用于计数，或者使用
```
RETURN
```
登录后复制
目标。不过，对于简单的统计，这种方式足够了。
查看统计结果： 执行以下命令，你会看到每条
```
iptables
```
登录后复制
规则对应的包（
```
pkts
```
登录后复制
）和字节（
```
bytes
```
登录后复制
）计数。
```
sudo iptables -L -v -n
```
登录后复制
在输出中，找到你为8080端口添加的规则，就能看到它们的累计流量了。
清零计数器： 如果你想重新开始统计，或者只是想看某个时间段内的流量，可以清零所有规则的计数器：
```
sudo iptables -Z
```
登录后复制
或者，只清零特定规则的计数器（这需要知道规则的编号，或者使用更复杂的匹配）：
```
# 假设你的规则是INPUT链的第X条，但通常直接Z掉所有更方便
# sudo iptables -Z INPUT X
```
登录后复制

实时流量监控： 如果你的需求是实时查看流量，而不是累计统计，那么

iptables

登录后复制

就不太合适了。这时，

iftop

登录后复制

或

nethogs

登录后复制

会是更好的选择。

iftop

登录后复制

：它可以显示网络接口上实时的带宽使用情况，并且可以过滤特定端口。

# 安装（Debian/Ubuntu）
sudo apt install iftop
# 安装（CentOS/RHEL）
sudo yum install epel-release && sudo yum install iftop

# 监控eth0接口上8080端口的流量
sudo iftop -i eth0 -f 'port 8080'

登录后复制

它会显示类似

top

登录后复制

的界面，实时更新连接和带宽。

nethogs

登录后复制

：这个工具更棒的地方在于，它能显示是哪个进程在使用网络带宽，这对于排查问题非常有帮助。

# 安装（Debian/Ubuntu）
sudo apt install nethogs
# 安装（CentOS/RHEL）
sudo yum install epel-release && sudo yum install nethogs

# 监控eth0接口，并显示进程名
sudo nethogs -d 1 eth0
# 如果想过滤端口，可能需要结合其他工具，或者在nethogs输出后手动查找
# nethogs本身没有直接的端口过滤参数，但你可以用tcpdump捕获后分析，或者在nethogs输出中找

登录后复制

为什么常规的网络工具（如

netstat

登录后复制

或

ss

登录后复制

）在统计流量时不够用？

我以前也经常犯这个错误，总觉得

netstat

登录后复制

或者

ss

登录后复制

能看到一切网络活动。但实际上，这些工具主要是用来显示网络连接的状态、监听的端口、以及路由表信息。它们能告诉你“谁在跟谁说话”，以及“他们在用什么协议”，甚至能看到当前连接的发送/接收队列大小，但它们通常不提供累计的、历史的流量统计数据，比如某个端口在过去一小时内传输了多少字节或多少个包。

netstat

登录后复制

和

ss

登录后复制

提供的是一种快照视图，它们告诉你的是“现在”正在发生什么，或者“现在”有哪些连接存在。如果你想知道一个端口在一段时间内总共处理了多少数据，它们就显得力不从心了。而

iptables

登录后复制

则不同，它的计数器是持续累加的，除非你手动清零或者系统重启，它会一直记录数据，这正是我们进行流量统计时所需要的。所以，区分“连接状态”和“流量统计”是很关键的。

如何确保

iptables

登录后复制

规则在系统重启后依然有效？

iptables

登录后复制

规则默认是存储在内存中的，这意味着一旦系统重启，你手动添加的规则就会丢失。这对于流量统计来说是个大问题，因为你希望统计是持续的。为了让规则持久化，我们需要将它们保存到文件中，并在系统启动时自动加载。

不同的Linux发行版有不同的处理方式：

Text-To-Pokemon口袋妖怪

输入文本生成自己的Pokemon，还有各种选项来定制自己的口袋妖怪

查看详情

Debian/Ubuntu系列： 通常使用
```
iptables-persistent
```
登录后复制
这个包来管理。
1. 安装：
```
sudo apt install iptables-persistent
```
  登录后复制
  安装过程中会询问你是否保存当前的IPv4和IPv6规则，选择“是”。
2. 保存当前规则： 当你修改了
```
iptables
```
  登录后复制
  规则后，需要手动保存它们：
```
sudo netfilter-persistent save
# 或者直接
sudo service netfilter-persistent save
```
  登录后复制
  这会将规则写入
```
/etc/iptables/rules.v4
```
  登录后复制
  和
```
/etc/iptables/rules.v6
```
  登录后复制
  。
3. 服务管理：
```
iptables-persistent
```
  登录后复制
  会作为一个systemd服务在启动时加载这些文件中的规则。你可以检查其状态：
```
systemctl status netfilter-persistent.service
```
  登录后复制
RHEL/CentOS系列： 这些系统通常使用
```
iptables
```
登录后复制
服务或
```
firewalld
```
登录后复制
（但如果你用
```
iptables
```
登录后复制
命令，通常是直接操作
```
iptables
```
登录后复制
服务）。
1. 保存当前规则： 当你修改了
```
iptables
```
  登录后复制
  规则后，使用以下命令保存：
```
sudo service iptables save
# 或者对于较新的系统
sudo iptables-save > /etc/sysconfig/iptables
```
  登录后复制
  这会将规则写入
```
/etc/sysconfig/iptables
```
  登录后复制
  。
2. 启用服务： 确保
```
iptables
```
  登录后复制
  服务在系统启动时自动启动：
```
sudo systemctl enable iptables
sudo systemctl start iptables
```
  登录后复制
  注意： 如果你的系统默认使用
```
firewalld
```
  登录后复制
  ，那么直接操作
```
iptables
```
  登录后复制
  可能会与
```
firewalld
```
  登录后复制
  冲突。在这种情况下，你需要禁用
```
firewalld
```
  登录后复制
  并启用
```
iptables
```
  登录后复制
  服务，或者通过
```
firewalld
```
  登录后复制
  的接口来添加规则（
```
firewall-cmd
```
  登录后复制
  ）。不过，用
```
firewalld
```
  登录后复制
  来做这种精确的端口流量计数会复杂一些。

我的建议是，如果你只是为了统计流量而添加

iptables

登录后复制

规则，并且不希望这些规则影响你现有的防火墙逻辑，那么在保存规则时要格外小心。最好是只保存那些你确实需要持久化的规则，或者将统计规则放在一个单独的、优先级较低的链中，这样它们不会意外地阻塞合法流量。

除了端口流量，还有哪些方法可以监控Linux系统的网络性能？

很多时候，我们不光要看某个端口忙不忙，更要看整个网络链路是不是健康。除了特定端口的流量，还有很多维度可以监控Linux系统的网络性能，这能帮助我们更全面地了解问题。

接口级别的整体流量：
- sar -n DEV
  登录后复制
  ：
```
sysstat
```
  登录后复制
  工具集中的
```
sar
```
  登录后复制
  命令可以提供历史的、按接口统计的发送和接收字节数、包数等。这对于了解某个网卡（如
```
eth0
```
  登录后复制
  ）的总负载非常有用。
```
sar -n DEV 1 5 # 每秒刷新一次，共5次
```
  登录后复制
- vnstat
  登录后复制
  ：这是一个轻量级的网络流量监控工具，可以统计每日、每周、每月的网络流量，并提供漂亮的图表（如果你用其前端）。
```
sudo apt install vnstat # 或 yum install vnstat
sudo vnstat -u -i eth0 # 初始化数据库
vnstat # 查看统计
```
  登录后复制
- collectd
  登录后复制
  /
  Prometheus node_exporter
  登录后复制
  ：如果你需要长期、系统级的性能数据收集和可视化，这些是更专业的解决方案。它们能将各种指标（包括网络流量）发送到时间序列数据库（如InfluxDB, Prometheus），然后通过Grafana进行展示。
进程级别的网络使用：
- lsof -i :port
  登录后复制
  ：虽然不是直接的流量统计，但这个命令可以帮你找出哪个进程正在使用某个特定的端口。一旦知道了进程ID，你就可以结合其他工具（如
```
strace
```
  登录后复制
  或
```
procfs
```
  登录后复制
  ）进行更深入的分析。
```
sudo lsof -i :8080
```
  登录后复制
- nethogs
  登录后复制
  ：前面已经提到过，它能直接显示每个进程的实时带宽使用情况，这在排查哪个应用“吃”掉了带宽时非常高效。
更深层的包分析：
- tcpdump
  登录后复制
  ：这是网络排障的瑞士军刀。它可以捕获符合特定条件的网络数据包，然后你可以用
```
Wireshark
```
  登录后复制
  （图形界面）或
```
tshark
```
  登录后复制
  （命令行）进行分析，查看包头、内容、延迟、重传等，从而定位网络协议层面的问题。
```
sudo tcpdump -i eth0 port 8080 -w /tmp/port8080.pcap
# 捕获后可以用 Wireshark 打开 /tmp/port8080.pcap 分析
```
  登录后复制
网络连通性和延迟：
- ping
  登录后复制
  ：检查主机之间基本的连通性，以及往返延迟。
- traceroute
  登录后复制
  /
  mtr
  登录后复制
  ：用于跟踪数据包从源到目的地的路径，找出网络延迟或丢包发生在哪个节点。
```
mtr
```
  登录后复制
  结合了
```
ping
```
  登录后复制
  和
```
traceroute
```
  登录后复制
  的功能，提供更详细的实时报告。