nethogs的局限性

最新推荐文章于 2024-05-09 22:42:06 发布
最新推荐文章于 2024-05-09 22:42:06 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: linux资源信息 文章标签: nethogs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qu1993/article/details/110676955
版权

之前想找一个可以监视系统进程网络流量的工具,网上都推荐使用nethogs,我在自己的linux系统上安装了nethogs,感觉还挺好用的,但是当我在公司的服务器上运行的时候就会出现各种问题,有时候会卡死,有时候虽然不卡死,显示的信息也不太对,奇奇怪怪,但是又很想用这个功能,于是阅读了下nethogs的源码,发现了一些问题,应该是该工具存在一些局限性。

我所谓的局限性主要体现在 当服务器上有大量的网络连接,也就是短连接比较多的情况,nethogs就无法正常工作。而我使用的服务器恰恰有比较多的短连接,导致该工具无法使用,下面说下产生这种情况的原因。

该工具大体的思路是通过libpcap库,抓取网络包,并处理抓取的包信息。

首先判断该包是否为已存在连接的包:

  while (current != NULL) {
    /* the reference packet is always *outgoing* */
    if (packet->match(current->getVal()->refpacket)) {
      return current->getVal();
    }
    current = current->getNext();
  }



bool Packet::match(Packet *other) {
  return sa_family == other->sa_family && (sport == other->sport) &&
         (dport == other->dport) &&
         (sa_family == AF_INET
              ? (sameinaddr(sip, other->sip)) && (sameinaddr(dip, other->dip))
              : (samein6addr(sip6, other->sip6)) &&
                    (samein6addr(dip6, other->dip6)));
}

上面的while循环就是查找所有已经存在的连接,方法是比较协议族和四元组。如果找不到,还有一种情况,查找源地址是否存在,通过比较端口号和IP地址。

  while (current != NULL) {
    /* the reference packet is always outgoing */
    if (packet->matchSource(current->getVal()->refpacket)) {
      return current->getVal();
    }

bool Packet::matchSource(Packet *other) {
  return (sport == other->sport) && (sameinaddr(sip, other->sip));
}

如果通过上面的查找找到了,万事大吉,直接把这个新的包添加到该连接即可。如果connection不等于NULL,表示找到了,将新的包添加到该连接。如果找不到,就比较麻烦,说明是一个新的连接,由于nethogs是用来监视进程流量的,所以它必须知道该连接是属于哪个进程。所以要通过getProcess获取进程信息,但是该信息的获取可能会比较花费时间。

  Connection *connection = findConnection(packet, IPPROTO_TCP);

  if (connection != NULL) {
    /* add packet to the connection */
    connection->add(packet);
  } else {
    /* else: unknown connection, create new */
    connection = new Connection(packet);
    getProcess(connection, args->device);
  }

因为getProcess比较重要,分开说明。第一步先判断该连接是否已经存在,方法是查找该连接的inode值,gethashstring即获取四元组组成的一个字符串,每个对应一个inode,获取方法一会再说。

  unsigned long inode = conninode[connection->refpacket->gethashstring()];

gethashstring:

  hashstring = (char *)malloc(HASHKEYSIZE * sizeof(char));

  char *local_string = (char *)malloc(50);
  char *remote_string = (char *)malloc(50);
  if (sa_family == AF_INET) {
    inet_ntop(sa_family, &sip, local_string, 49);
    inet_ntop(sa_family, &dip, remote_string, 49);
  } else {
    inet_ntop(sa_family, &sip6, local_string, 49);
    inet_ntop(sa_family, &dip6, remote_string, 49);
  }
  if (Outgoing()) {
    snprintf(hashstring, HASHKEYSIZE * sizeof(char), "%s:%d-%s:%d",
             local_string, sport, remote_string, dport);
  } else {
    snprintf(hashstring, HASHKEYSIZE * sizeof(char), "%s:%d-%s:%d",
             remote_string, dport, local_string, sport);
  }

因为刚才判断新抓到的包是属于新的连接的,所以这里的inode应该不存在,也就是inode等于0。如果inode为0,要先获取inode值,获取方法为:

void reread_mapping() {
  DIR *proc = opendir("/proc");

  if (proc == 0) {
    std::cerr << "Error reading /proc, needed to get inode-to-pid-maping\n";
    exit(1);
  }

  dirent *entry;

  while ((entry = readdir(proc))) {
    if (entry->d_type != DT_DIR)
      continue;

    if (!is_number(entry->d_name))
      continue;

    get_info_for_pid(entry->d_name);
  }
  closedir(proc);
}

即遍历整个/proc目录,查找所有进程的inode值,即查找每个进程的fd目录,套接字类型的描述符,该值就是下图中socket:[]中的那串数字。这样就获取了进程和inode的对照关系。

linux0@ubuntu:/proc/5544/fd$ ls -ltr
total 0
lrwx------ 1 linux0 linux0 64 Dec  5 09:56 3 -> 'socket:[89478]'
lrwx------ 1 linux0 linux0 64 Dec  5 09:56 2 -> /dev/pts/1
lrwx------ 1 linux0 linux0 64 Dec  5 09:56 1 -> /dev/pts/1
lrwx------ 1 linux0 linux0 64 Dec  5 09:56 0 -> /dev/pts/1

知道了进程和inode的对照关系,还要知道inode和连接的 关系,所以refreshconninode获取当前所有的连接,方法是读取/proc/net/tcp和/proc/net/tcp6,获取四元组信息和inode。

  if (!addprocinfo("/proc/net/tcp")) {
    std::cout << "Error: couldn't open /proc/net/tcp\n";
    exit(0);
  }
  addprocinfo("/proc/net/tcp6");
  int matches = sscanf(buffer,
                       "%*d: %64[0-9A-Fa-f]:%X %64[0-9A-Fa-f]:%X %*X "
                       "%*X:%*X %*X:%*X %*X %*d %*d %ld %*512s\n",
                       local_addr, &local_port, rem_addr, &rem_port, &inode);


  char *hashkey = (char *)malloc(HASHKEYSIZE * sizeof(char));
  char *local_string = (char *)malloc(50);
  char *remote_string = (char *)malloc(50);
  inet_ntop(sa_family, &result_addr_local, local_string, 49);
  inet_ntop(sa_family, &result_addr_remote, remote_string, 49);

  snprintf(hashkey, HASHKEYSIZE * sizeof(char), "%s:%d-%s:%d", local_string,
           local_port, remote_string, rem_port);
  free(local_string);

  conninode[hashkey] = inode;

buffer就是/proc/net/tcp和/proc/net/tcp6中的一行数据。将conninode更新为最新的四元组和inode对照表,包含当前的所有inode信息。这样就可以通过inode,间接找到进程和连接四元组的关系。知道新的包是属于哪个进程的。

通过上面的一系列操作,可以发现,假设服务器以长连接为主,那么整个服务器的进程与包的关系是比较容易判断的,因为连接比较固定,nethogs也就可以正常发挥作用。但是如果服务器存在比较多的短连接,那么每次这些新加入的短连接与进程的对应关系都是不明确的,都得经过上面分析的查找过程,特别是当/proc/net/tcp文件比较大的时候,该查找是非常缓慢的,导致的结果就是nethogs把绝大多数的时间都花在了查找连接与进程的关系上,而不是处理流量大小上,这种情况下, nethogs无法正常工作。

后面因为感觉这种进程流量监视的方式太过麻烦,最关键的是nethogs无法对udp做出有效处理,最终我选择自己根据nethogs写一个只监视一个进程流量的工具,可以处理tcp和udp,虽然可能太过简单存在很多问题,但是在我一般的测试中,感觉基本可用,主要也基本符合使用需求。可以同时检测tcp和udp。

 

 

不闻窗外事
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nethogs 0.8.1rpm下载包
04-17
通过安装和使用 nethogs-0.8.1.rpm 包,你可以轻松地集成这个工具到你的 Linux 环境中,以提升网络管理的效率和准确性。无论是日常使用还是专业运维,nethogs 都能提供有价值的信息,帮助你优化网络资源的使用。
linux centos 查看进程网络流量状态、网络流量(使用nethogs、nload)
热门推荐
cbuy888的博客
03-06 1万+
NetHogs、nload都是第三方实用小工具,centos 7以上可以直接yum安装,也可以找源码安装。 1. nethogs 使用说明和例子 使用说明(参数基本使用默认值就行了,这个工具好处就是能清楚查看到哪个进程占用了更大的网络流量) 用法:nethogs[-v][-h][-b][-d秒][-v模式][-c计数][-t][-p][-s][设备[设备…]] -V:打印版本。 -H:...
nethogs和nload流量监控工具
m0_55593211的博客
12-15 2176
nethogs流量监控工具 工具存在部分局限性,如果网卡存在大量网络连接会导致nethogs卡死 NetHogs安装 安装依赖: # yum install libpcap libpcap-devel gcc* ncurses* 下载安装包: # wget https://github.com/raboof/nethogs/archive/refs/tags/v0.8.6.tar.gz 解压: [root@local~]# tar -xvf v0.8.6.tar.gz [root@local~]# c
Linux流量分析工具 | nethogs
最新发布
weixin_57514792的博客
05-09 1437
Linux流量分析工具 | nethogs
nethogs命令执行报异常的解决方法
weixin_33989780的博客
02-16 436
nethogs: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.11' not found (required by nethogs)nethogs: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.9' not found (required by nethogs)
Linux系统调优详解(七)——网络状态查看命令nethogs
永远是少年
06-24 2909
今天继续给大家介绍Linux运维相关知识,本文主要内容是网络状态查看命令nethogs。 一、nethogs命令安装 二、nethogs命令使用
Linux工具之nethogs命令
月生的静心苑
04-25 8999
NetHogs是一个小型的net top工具,不像大多数工具那样拖慢每个协议或者是每个子网的速度而是按照进程进行带宽分组。NetHogs不需要依赖载入某个特殊的内核模块。如果发生了网络阻塞你可以启动NetHogs立即看到哪个PID造成的这种状况。这样就很容易找出哪个程序跑飞了然后突然占用你的带宽。NetHogs是一个类似于Linux的top命令的开源的命令行工具,用来按进程或程序实时统计网络带宽使用率,它可以直观的显示每个进程占用的带宽。
Linux学习准备,nethogs,htop,nmon,dstat用法
m0_62032868的博客
05-22 872
Nethogs用法: 在基于RedHat系统下键入如下命令启动NetHogs工具. # nethogs 要执行NetHogs你必须拥有root权限,即如图所示用sudo命令 $ sudo nethogs 以下就是NetHogs命令行的参数,用’-d’来添加刷新频率参数,device name 用来检测给定的某个或者某些设备的带宽(默认是eth0).例如:设置5秒钟的刷新频率,键入如下命令即可: # nethogs -d 5 或 $ sudo net...
nethogs0.8
09-13
总之,nethogs 0.8在CentOS 6.5中的应用为系统管理员提供了一个有力的网络监控工具,通过它可以精细化管理网络资源,提高系统的稳定性和效率。无论是在家庭网络还是企业环境中,nethogs都是一个值得信赖的网络流量...
教你在 Centos7 中部署 Nethogs 监控软件.doc
09-01
在 CentOS 7 系统中部署 Nethogs 监控软件是一个非常实用的过程,Nethogs 是一个轻量级的工具,它可以帮助系统管理员实时跟踪各个进程或应用程序的网络带宽使用情况。以下是对这个过程的详细说明: 首先,我们需要...
Linux工具之Nethogs按进程监控网络带宽的安装部署
09-14
**Linux工具Nethogs简介** 在Linux环境中,网络带宽的监控对于系统管理员来说至关重要,以便于识别和解决网络性能问题。Nethogs是一个轻量级的网络监控工具,它与众不同之处在于它按照进程(PID)来显示网络带宽...
nethogs-parser:总结 nethogs 跟踪模式输出的解析器
07-11
网络猪解析器 总结 nethogs 跟踪模式输出的解析器 网络猪 Nethogs 是一个net top工具。 [ ] 制作 go build -o hogs hogs.go 用法 - 去脚本 ./hogs <options> [file]... -type=csv|pretty -datatable=<datatable> -class=<datatable> -cpuprofile=<filename>.prof 例子 ./hogs -type=csv output1 output2 output3 ./hogs -datatable localhost:4200 -class nethogsbw output1 output2 ./hogs -type=pretty -datatable localhost:4200 -class m
nethogs命令 实时统计网络带宽使用率工具
01-09
nethogs是一个小型的net top工具,不像大多数工具那样拖慢每个协议或者是每个子网的速度而是按照进程进行带宽分组。NetHogs不需要依赖载入某个特殊的内核模块。如果发生了网络阻塞你可以启动NetHogs立即看到哪个PID造成的这种状况。这样就很容易找出哪个程序跑飞了然后突然占用你的带宽。 语法格式:nethogs [参数] [设备] 常用参数: device(s) 要监控的设备,默认“eth0” -d 以秒为单位的界面刷新频率。用于控制界面的更新速度。默认为一秒 -v 选择查看模式。参数mode的取值为:“0” = KB/s;“1” = total KB, “2”
收集并统计网络UDP流量
05-14
收集并统计网络UDP流量使用winpcp编写
nethogs和epel.rar
07-17
安装并启用EPEL仓库,不仅方便获取nethogs,还能获取其他有助于系统管理和优化的工具,如性能分析工具、安全工具等,提升了系统的可维护性和功能性。 总结来说,nethogs和EPEL是Linux系统管理员在网络监控和性能...
【Linux】之【网络】相关的命令及解析[ethtool、nload、nethogs、iftop、iptraf、ifstat]
liu_chen_yang的博客
06-16 2781
语法格式 常用参数参考实例查询网口基本设置: 查询网口的驱动相关信息: 设置网口工作方式: 查看网卡,在接收/发送数据时,有没有出错 : 停止网卡的发送模块TX: 2、nload – 实时统计网卡带宽使用率工具 语法格式 参考实例 指定监测一个网卡流量: 监测所有网卡的流量: 按【回车健】查看下一个网卡监测情况;字段解析语法格式 常用参数参考实例设置5秒刷新一次: 监视设备(eth0)的网络带宽: 使用追踪模式: 2、iftop – 套接字及进程的网络利用率 语法格式 常用参数参考实例默认监控第一块网
nethogs 网络流量监控工具安装部署
段小宝的博客
08-31 4598
centos安装部署 wget https://github.com/raboof/nethogs/archive/v0.8.5.tar.gz yum install libpcap-devel yum install ncurses-devel tar zxvf v0.8.5.tar.gz cd nethogs-0.8.5/ make && make install make是编译的意思。就是把源码包编译成二进制可执行文件 make install 就是安装的意思。 make&amp
Nethogs 命令使用--网络带宽占用情况查看工具
基咯咯
01-13 6349
什么是nethogsNetHogs是一个开源的命令行工具(类似于Linux的top命令),用来按进程或程序实时统计网络带宽使用率。 在Nethogs项目网站上描述是: NetHogs是一个小型的net top工具,不像大多数工具那样拖慢每个协议或者是每个子网的速度而是按照进程进行带宽分组。NetHogs不需要依赖载入某个特殊的内核模块。如果发生了网络阻塞你可以启动NetHogs立即看到哪
一款好用的网卡监控工具nethogs(可监控进程)
weixin_33691817的博客
05-31 210
安装 nethogs:yum install gcc-c++ libpcap-devel.x86_64 libpcap.x86_64 ncurses*git clone https://github.com/raboof/nethogsmakemake installhash -r卸载:make uninstall使用:sudo nethogs 转载于:https...
Linux nethogs
10-25
Linux nethogs是一个开源的命令行工具,类似于Linux的top指令,用于实时计算网络带宽使用率。它能够按进程或程序直观地显示每个进程占用的带宽,并且不会拖慢每个协议或子网的速度,而是依照进程进行带宽分组。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值