在Linux中有很多的流量監(jiān)控工具，它們可以監(jiān)控、分類網(wǎng)絡(luò)流量，以花哨的圖形用戶界面提供實(shí)時(shí)流量分析報(bào)告。大多數(shù)這些工具（例如：ntopng ,  iftop ）都是基于libpcap 庫(kù)的 ，這個(gè)函數(shù)庫(kù)是用來截取流經(jīng)網(wǎng)卡的數(shù)據(jù)包的，可在用戶空間用來監(jiān)視分析網(wǎng)絡(luò)流量。盡管這些工具功能齊全，然而基于libpcap庫(kù)的流量監(jiān)控工具無法處理高速（Gb以上）的網(wǎng)絡(luò)接口，原因是由于在用戶空間做數(shù)據(jù)包截取的系統(tǒng)開銷過高所致。

在本文中我們介紹一種簡(jiǎn)單的Shell 腳本，它可以監(jiān)控網(wǎng)絡(luò)流量而且不依賴于緩慢的libpcap庫(kù)。這些腳本支持Gb以上規(guī)模的高速網(wǎng)絡(luò)接口，如果你對(duì)“匯聚型”的網(wǎng)絡(luò)流量感興趣的話，它們可統(tǒng)計(jì)每個(gè)網(wǎng)絡(luò)接口上的流量。

腳本主要是基于sysfs虛擬文件系統(tǒng)，這是由內(nèi)核用來將設(shè)備或驅(qū)動(dòng)相關(guān)的信息輸出到用戶空間的一種機(jī)制。網(wǎng)絡(luò)接口的相關(guān)分析數(shù)據(jù)會(huì)通過“/sys/class/net/<ethX>/statistics”輸出。

舉個(gè)例子，eth0的網(wǎng)口上分析報(bào)告會(huì)輸出到這些文件中：

• /sys/class/net/eth0/statistics/rx_packets: 收到的數(shù)據(jù)包數(shù)據(jù)
• /sys/class/net/eth0/statistics/tx_packets: 傳輸?shù)臄?shù)據(jù)包數(shù)量
• /sys/class/net/eth0/statistics/rx_bytes: 接收的字節(jié)數(shù)
• /sys/class/net/eth0/statistics/tx_bytes: 傳輸?shù)淖止?jié)數(shù)
• /sys/class/net/eth0/statistics/rx_dropped: 收包時(shí)丟棄的數(shù)據(jù)包
• /sys/class/net/eth0/statistics/tx_dropped: 發(fā)包時(shí)丟棄的數(shù)據(jù)包

這些數(shù)據(jù)會(huì)根據(jù)內(nèi)核數(shù)據(jù)發(fā)生變更的時(shí)候自動(dòng)刷新。因此，你可以編寫一系列的腳本進(jìn)行分析并計(jì)算流量統(tǒng)計(jì)。下面就是這樣的腳本（感謝 joemiller 提供）。***個(gè)腳本是統(tǒng)計(jì)每秒數(shù)據(jù)量，包含接收（RX）或發(fā)送（TX）。而后面的則是一個(gè)描述網(wǎng)絡(luò)傳輸中的接收（RX）發(fā)送(TX)帶寬。這些腳本中安裝不需要任何的工具。

測(cè)量網(wǎng)口每秒數(shù)據(jù)包：

#!/bin/bash 
INTERVAL="1"  # update interval in seconds 
if [ -z "$1" ]; then 
        echo 
        echo usage: $0 [network-interface] 
        echo 
        echo e.g. $0 eth0 
        echo 
        echo shows packets-per-second 
        exit 
fi 
IF=$1 
while true 
do 
        R1=`cat /sys/class/net/$1/statistics/rx_packets` 
        T1=`cat /sys/class/net/$1/statistics/tx_packets` 
        sleep $INTERVAL 
        R2=`cat /sys/class/net/$1/statistics/rx_packets` 
        T2=`cat /sys/class/net/$1/statistics/tx_packets` 
        TXPPS=`expr $T2 - $T1` 
        RXPPS=`expr $R2 - $R1` 
        echo "TX $1: $TXPPS pkts/s RX $1: $RXPPS pkts/s" 
done 

網(wǎng)絡(luò)帶寬測(cè)量：

#!/bin/bash 
INTERVAL="1"  # update interval in seconds 
if [ -z "$1" ]; then 
        echo 
        echo usage: $0 [network-interface] 
        echo 
        echo e.g. $0 eth0 
        echo 
        exit 
fi 
IF=$1 
while true 
do 
        R1=`cat /sys/class/net/$1/statistics/rx_bytes` 
        T1=`cat /sys/class/net/$1/statistics/tx_bytes` 
        sleep $INTERVAL 
        R2=`cat /sys/class/net/$1/statistics/rx_bytes` 
        T2=`cat /sys/class/net/$1/statistics/tx_bytes` 
        TBPS=`expr $T2 - $T1` 
        RBPS=`expr $R2 - $R1` 
        TKBPS=`expr $TBPS / 1024` 
        RKBPS=`expr $RBPS / 1024` 
        echo "TX $1: $TKBPS kb/s RX $1: $RKBPS kb/s" 
done 

下面的屏幕截圖顯示了上面的兩個(gè)腳本的輸出。

原文鏈接： Dan Nanni 翻譯： 極客范 - 彭秦進(jìn)

譯文鏈接： http://www.geekfan.net/5558/