如何在Linux下统计高速网络中的流量

Linux下统计高速网络流量方法如下：

在Linux中有很多的流量监控工具，它们可以监控、分类网络流量，以花哨的图形用户界面提供实时流量分析报告。大多数这些工具（例如：ntopng，iftop ）都是基于libpcap 库的，这个函数库是用来截取流经网卡的数据包的，可在用户空间用来监视分析网络流量。尽管这些工具功能齐全，然而基于libpcap库的流量监控工具无法处理高速（Gb以上）的网络接口，原因是由于在用户空间做数据包截取的系统开销过高所致。

在本文中我们介绍一种简单的Shell 脚本，它可以监控网络流量而且不依赖于缓慢的libpcap库。这些脚本支持Gb以上规模的高速网络接口，如果你对“汇聚型”的网络流量感兴趣的话，它们可统计每个网络接口上的流量。

脚本主要是基于sysfs虚拟文件系统，这是由内核用来将设备或驱动相关的信息输出到用户空间的一种机制。网络接口的相关分析数据会通过“/sys/class/net/<ethX>/statistics”输出。

举个例子，eth0的网口上分析报告会输出到这些文件中：

/sys/class/net/eth0/statistics/rx_packets: 收到的数据包数据

/sys/class/net/eth0/statistics/tx_packets: 传输的数据包数量

/sys/class/net/eth0/statistics/rx_bytes: 接收的字节数

/sys/class/net/eth0/statistics/tx_bytes: 传输的字节数

/sys/class/net/eth0/statistics/rx_dropped: 收包时丢弃的数据包

/sys/class/net/eth0/statistics/tx_dropped: 发包时丢弃的数据包

这些数据会根据内核数据发生变更的时候自动刷新。因此，你可以编写一系列的脚本进行分析并计算流量统计。下面就是这样的脚本（感谢 joemiller 提供）。第一个脚本是统计每秒数据量，包含接收（RX）或发送（TX）。而后面的则是一个描述网络传输中的接收（RX）发送(TX)带宽。这些脚本中安装不需要任何的工具。

测量网口每秒数据包：

#!/bin/bash

INTERVAL="1" #update interval in seconds

if [ -z "$1" ]then

echo

echousage: $0 [network-interface]

echo

echoe.g. $0 eth0

echo

echoshows packets-per-second

exit

fi

IF=$1

while true

do

R1=`cat/sys/class/net/$1/statistics/rx_packets`

T1=`cat/sys/class/net/$1/statistics/tx_packets`

sleep$INTERVAL

R2=`cat/sys/class/net/$1/statistics/rx_packets`

T2=`cat/sys/class/net/$1/statistics/tx_packets`

TXPPS=`expr$T2 - $T1`

RXPPS=`expr$R2 - $R1`

echo"TX $1: $TXPPS pkts/s RX $1: $RXPPS pkts/s"

done

网络带宽测量

#!/bin/bash

INTERVAL="1" #update interval in seconds

if [ -z"$1" ]then

echo

echousage: $0 [network-interface]

echo

echoe.g. $0 eth0

echo

exit

fi

IF=$1

while true

do

R1=`cat/sys/class/net/$1/statistics/rx_bytes`

T1=`cat/sys/class/net/$1/statistics/tx_bytes`

sleep$INTERVAL

R2=`cat/sys/class/net/$1/statistics/rx_bytes`

T2=`cat/sys/class/net/$1/statistics/tx_bytes`

TBPS=`expr$T2 - $T1`

RBPS=`expr$R2 - $R1`

TKBPS=`expr$TBPS / 1024`

RKBPS=`expr$RBPS / 1024`

echo"TX $1: $TKBPS kb/s RX $1: $RKBPS kb/s"

done

下面的屏幕截图显示了上面的两个脚本的输出。

我的处理办法是，换了一个yum源，具体步骤：

[1] 首先备份/etc/yum.repos.d/CentOS-Base.repo

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

[2] 进入yum源配置文件所在文件夹

[root@localhost yum.repos.d]# cd /etc/yum.repos.d/

[3] 下载163的yum源配置文件，放入/etc/yum.repos.d/( *** 作前请做好相应备份)

[root@localhost yum.repos.d]# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo

[4] 运行yum makecache生成缓存

[root@localhost yum.repos.d]# yum makecache

[5] 更新系统

[root@localhost yum.repos.d]# yum -y update

更新系统，老长时间了。

完成之后，我再去安装libpcap-devel

#yum install -y libpcap-devel

成功了。

然后继续源码安装iftop:

# ./configure

#make

#make install

#iftop

到此为止，iftop成功安装，这篇文档重点强调的是遇到yum源里没有的包时，可以去更新yum源，效果不错。

为了开发需要，我决定使用最新libpcap源码包安装。在Unix环境下安装libpcap库，需要c编译器，flex，bison等，安装Ubuntu系统时，没有这些包。安装flex需要m4编译环境，否则会提示“GNU M4 is required”错误。1.安装系统依赖包sudo apt-get install gcc libc6-devsudo apt-get install m4 sudo apt-get install flex bison2.下载libpcap源码并安装从官网http://www.tcpdump.org/下载最新的libpcap版本cd /usr/local/srcwget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gztar zxvf libpcap-1.5.3.tar.gzcd libpcap-1.5.3./configuremakesudo make install3.安装开发需要用到的依赖库sudo apt-get install libpcap-dev4.测试libpcap的小程序，命名为pcap_demo.c，以检验环境是否配置正确#include <pcap.h>#include <stdio.h>int main(int argc, char *argv[]){pcap_t *handle/* Session handle */char *dev /* The device to sniff on */char errbuf[PCAP_ERRBUF_SIZE]/* Error string */struct bpf_program fp/* The compiled filter */char filter_exp[] = "port 80"/* The filter expression */bpf_u_int32 mask/* Our netmask */bpf_u_int32 net/* Our IP */struct pcap_pkthdr header/* The header that pcap gives us */const u_char *packet/* The actual packet *//* Define the device */dev = pcap_lookupdev(errbuf)if (dev == NULL) {fprintf(stderr, "Couldn't find default device: %s\n", errbuf)return(2)}/* Find the properties for the device */if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {fprintf(stderr, "Couldn't get netmask for device %s: %s\n", dev, errbuf)net = 0mask = 0}/* Open the session in promiscuous mode */handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf)if (handle == NULL) {fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf)return(2)}/* Compile and apply the filter */if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) {fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle))return(2)}if (pcap_setfilter(handle, &fp) == -1) {fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle))return(2)}/* Grab a packet */packet = pcap_next(handle, &header)/* Print its length */printf("Jacked a packet with length of [%d]\n", header.len)/* And close the session */pcap_close(handle)return(0)}开始编译：gcc -g pcap_demo.c -o pcap_demo -lpcap 开始执行./pcap_demo5.注意的问题5.1.注意使用root用户来执行，或者对普通用户使用sudo来提升权限sudo pcap_demo 5.2.对一些PCAP API函数要有全面地理解，并时刻更新文档，比如pcap_loop这个函数，下面是官网的man page地址 http://www.tcpdump.org/manpages/pcap.3pcap.html

---