背景

相同配置和相同业务的4台cvm，今天准备下线，检查还有没有业务流量的时候，发现有两台流量不符合预期，就很奇怪，想知道流量是从哪里来的。记录下当时定位思路

先来了解下基本的概念

一、Mbps、kbps、bps、bit、b

速度单位，bit 即比特，通常用 b（小写）表示，指一位二进制位；

• Mbps 即 Milionbit pro second(百万位每秒)；
• Kbps 即 Kilobit pro second（千位每秒）；
• bps 即 bit pro second（位每秒）；

单位换算：
1Milionbit=1000Kilobit=1000000bit
1Mbps=1000 000bps

这是通常用来衡量带宽的单位，指每秒钟传输的二进制位数；

二、MB、KB、B

通常软件上显示的速度不是上述一中的带宽，而是指每秒种传输的字节数（Byte）通常用B（大写）表示；

• MB 即百万字节也称兆字节；
• KB 即千字节；
• B 即字节；

单位换算：
1MB=1024KB=10241024B=10241024*8b
1B=8b；
与带宽的换算：

1M带宽即指 1Mbps=1000Kbps=1000/8KBps=125KBps；

因此1M的带宽下载的速度一般不会超过125KB每秒。

2M、3M带宽分别是250KBps、375KBps；

2M、3M带宽的下载速度分别不会超过250KB、375KB每秒。

PS：

1Mbps与 1m/s 是有区别的，1Mbps指的是1000/8KB/S也就是125KB/S，而 1m/s 指的是是1024KB/S。

记住 K 和 k 是没区别的 ，区别在于 bps 属于位每秒的单位，而m/s，KB/S 这两个属于字节每秒的单位，一字节等于8位，即1B=8b

好了，进入正题

1、首先我们先使用neatest 查看监听了哪些进程，由于是生产环境，这里就不截图展示了

netstat -anltp

执行后发现连接数很少，基本上可以确认应该没啥业务流量了，但是为了保险起见，我们应该对业务监听的端口进行抓包看看（这里以nginx为例）

tcpdump -iany dst port '80 or 443' and dst host '输入自己的ip' -nnv

这里没有输出，证明我们猜想是正确的，确实没有业务流量了

2、使用dstat命令实时查看网卡流量

dstat -tnf 10

PS：dstat命令默认显示的是速度单位，而不是存储单位。例如，dstat -tnf命令的输出中，k和b单位分别表示千字节和字节的速度，而不是存储容量。从下面这张图仔细的小伙伴肯定有疑问，为什么这里的send平均在1500k怎么和上面第二张图的10M不相等呢？

原因：这就是Mb/s和MB/s的区别啦。dstat表示的单位是字节每秒，但是Mb/s表示的是位每秒，通过上面的换算，其实是一样的，只是单位不同而已。

从这里看到确实流量有这么高，进一步查看

3、使用iftop命令

iftop是一个实时流量监控工具，可以用来监控网络接口的流量。要监控某个进程的流量，你可以使用以下命令：

sudo iftop -i eth0 -f "src port <port> or dst port <port>"

但是这里我们并不知道端口，所以执行

iftop -i eth1

从这里就可以确认到是哪一个目的ip了，如果再结合到neatest 命令就可以确认到是哪一个进程。

4、使用nethogs命令

nethogs -a -d 10

从这里可以查看到某个进程对应的所有流量了。

扩展
使用nload命令也可以实时监控入流量和出流量
使用lsof -i:port 根据端口查询进程

nload eth1