CentOS Sniffer能监控哪些网络指标

CentOS Sniffer可监控的网络指标

一、核心指标维度

• 流量与带宽：按主机、端口、协议的字节数与包数，识别Top Talkers、大流量会话与异常流量峰值。
• 会话与连接：TCP/UDP会话数量、状态分布（如SYN_SENT、ESTABLISHED、CLOSE_WAIT）、并发连接数、短连接/长连接比例。
• 时延与抖动：TCP握手时延（SYN→SYN-ACK）、首包时延（请求→首响应）、应用响应时延分布与抖动。
• 重传与丢包：TCP重传率、重复ACK、乱序、超时与丢包迹象（基于序列号与重传标志推断）。
• 错误与异常：ICMP错误（如Destination Unreachable、Time Exceeded）、TCP RST/FIN异常比例、异常协议/畸形包。
• DNS与解析：DNS查询/响应时延、解析成功率、NXDOMAIN比例、EDNS/DO标志使用。
• HTTP/应用层：HTTP状态码分布、请求方法占比、慢请求（长Header/Body、长事务）、TLS握手耗时与版本/套件。
• 端口与协议分布：各目的端口/协议占比，识别异常端口扫描与非标准端口滥用。
• 安全与策略事件：可疑流量特征（如暴力连接、异常子域请求）、与防火墙/SELinux策略命中线索。
  以上指标可通过抓包与统计工具在CentOS上获得，用于定位性能瓶颈与异常行为。

二、常用工具与可获取指标对照

三、快速上手示例

• 抓取指定接口并保存以便分析
  命令：sudo tcpdump -i eth0 -w capture.pcap
  说明：将eth0上的流量写入capture.pcap，后续用Wireshark/tshark分析重传、时延与错误。
• 实时查看HTTP流量并关注时延与响应码
  命令：sudo tcpdump -i eth0 -nn -ttt 'tcp port 80 or tcp port 443' -vv
  说明：显示相对时间戳、源/目的IP:端口，便于观察请求与响应间隔及HTTP状态码。
• 按主机对查看实时带宽占用
  命令：sudo iftop -i eth0
  说明：按主机对展示实时带宽排行，快速定位占用带宽的源/目的。
• 查看接口历史统计与错误/丢包
  命令：sar -n DEV 1 10 与 sar -n TCP 1 10
  说明：获取网络接口收发速率、错误与TCP重传率等系统级统计。

四、使用与合规提示

• 抓包工具用于授权环境下的故障排查与性能分析，避免对生产造成性能影响（如控制抓包时长/过滤表达式）。
• 涉及隐私与合规的数据应谨慎处理，遵循相关法律法规与单位网络政策。