iftop est un outil en ligne de commande permettant de surveiller la bande passante réseau en temps réel. Il affiche une liste continuellement mise à jour des connexions réseau ainsi que la quantité de données transférées entre elles. Les connexions sont présentées sous forme de tableau et peuvent être triées selon l’utilisation de la bande passante.
iftop propose différentes options de filtrage permettant de limiter l’affichage à des hôtes, réseaux ou ports spécifiques. Il prend en charge IPv6 et peut afficher les adresses IP source et destination, les numéros de ports ainsi que les protocoles utilisés.
Cet outil est particulièrement utile pour surveiller le trafic en temps réel et identifier les services ou machines consommant le plus de bande passante. Il peut également aider à détecter des problèmes de performance réseau et faciliter le dépannage.
En résumé, iftop est un outil léger mais puissant, constituant un excellent complément à la boîte à outils de tout administrateur système ou réseau.
L’un des outils de surveillance réseau que j’utilise le plus est iftop. Il devient particulièrement utile lorsque la liaison réseau est saturée. En pratique, il peut aussi aider à détecter des schémas de trafic anormaux, notamment des attaques de type DoS. Dans l’exemple ci-dessous, je vais transférer un fichier volumineux vers une machine distante avec une limitation de bande passante et observer le trafic à l’aide de iftop.
Commençons par installer iftop sur la machine locale (dans cet exemple, Kali Linux) :
|
1 |
# apt install iftop |
La distribution importe peu — iftop est disponible dans la plupart des dépôts Linux, notamment sous Debian.
Installons maintenant iftop sur la machine distante (Debian Linux) :
|
1 |
# apt install iftop |
Pour commencer la surveillance du trafic réseau, exécutez iftop avec les paramètres -PpNn :
|
1 |
# iftop -PpNn |
Comme je suis connecté à la machine distante via SSH, je peux voir ma session SSH active dans la liste des connexions.
Revenons maintenant à la machine locale et créons un fichier volumineux :
|
1 |
# truncate -s 1G 1G-file.txt |
Après avoir créé le fichier de 1 Go, transférons-le vers la machine distante avec une limitation de bande passante :
|
1 |
# scp -l 800 -P2222 1G-file.txt soban@soban.pl:~ |
L’option -l 800 limite le débit à 800 Kbit/s. Pour convertir en KB/s, il faut diviser par 8, soit environ 100 KB/s.
De cette manière, il est possible d’observer à la fois le trafic sortant et entrant en temps réel. Bien que simple, iftop offre une excellente visibilité sur l’activité réseau en direct.
Lors d’attaques par force brute, on observe généralement un grand nombre de connexions de courte durée. En revanche, une attaque DoS vise à saturer la bande passante, ce qui se traduit par un trafic entrant élevé. Si l’augmentation du trafic est légitime, il est possible d’envisager une limitation du débit — des outils comme iptables peuvent être utilisés à cet effet.