iftop — Netzwerkverkehr live pro Verbindung überwachen
Praxis-Guide zu iftop — Live-Bandbreite pro Verbindung im Terminal anzeigen, BPF-Filter setzen und Traffic-Spitzen mit dem „top für Netzwerke" aufspüren.
iftop zeigt dir in Echtzeit, welche Netzwerkverbindungen deinen Durchsatz beanspruchen – ähnlich wie top CPU-Zeit pro Prozess anzeigt, listet iftop Bandbreite pro Host-Paar auf. Mit einem einzigen Befehl siehst du sofort, wer gerade sendet und empfängt, wie viel Traffic jede Verbindung verursacht und welche Hosts die meiste Kapazität belegen. Das Tool nutzt Paketmitschnitt (libpcap) und läuft vollständig im Terminal – ideal zum schnellen Troubleshooting bei unerwartetem Bandbreitenverbrauch.
Grundlegende Verwendung
iftop — Überwacht den Traffic auf dem Standard-Interface. Benötigt Root-Rechte.
sudo iftopiftop -i INTERFACE — Überwacht ein bestimmtes Netzwerk-Interface.
sudo iftop -i eth0iftop -n — Numerische Ausgabe – keine Hostnamen-Auflösung. Schnellerer Start.
sudo iftop -niftop -N — Port-Nummern werden nicht in Dienstnamen aufgelöst.
sudo iftop -Niftop -nN — Vollständig numerisch – weder Hostnamen noch Ports werden aufgelöst.
sudo iftop -nNiftop -P — Zeigt Port-Nummern neben Hostnamen oder IP-Adressen an.
sudo iftop -PFilterung & Anzeige
iftop -f FILTER — Wendet einen BPF-Filterausdruck an (gleiche Syntax wie bei tcpdump).
sudo iftop -f 'port 80 or port 443'iftop -F NETWORK/CIDR — Zeigt Traffic zu und von einem bestimmten Netzwerk an.
sudo iftop -F 192.168.1.0/24iftop -G NETWORK/CIDR — Zeigt Traffic für ein IPv6-Netzwerk an.
sudo iftop -G 2001:db8::/32iftop -B — Zeigt Bandbreite in Byte/s statt Bit/s an.
sudo iftop -Biftop -m LIMIT — Legt die maximale Bandbreite für die Balkendiagramm-Skala fest.
sudo iftop -m 100Miftop -p — Promiscuous-Modus – erfasst den gesamten Traffic im Netzwerksegment.
sudo iftop -pText-Modus & Ausgabe
iftop -t — Text-Modus – nicht-interaktive Ausgabe, geeignet zum Protokollieren.
sudo iftop -t -s 10iftop -t -s SECONDS — Text-Modus, der für eine bestimmte Anzahl von Sekunden läuft.
sudo iftop -t -s 30iftop -t -L LINES — Text-Modus, der nur die Top-N-Verbindungen anzeigt.
sudo iftop -t -L 20 -s 10iftop -o COLUMN — Sortiert nach Spalte: 2s, 10s, 40s, Quelle, Ziel.
sudo iftop -o 10sInteraktive Tastenkürzel
h — Hilfsbildschirm ein-/ausblenden.
n — DNS-Auflösung ein-/ausschalten.
N — Port-Nummern-Auflösung ein-/ausschalten.
p — Port-Anzeige ein-/ausschalten.
P — Anzeige pausieren (Traffic wird weiterhin erfasst).
s — Anzeige des Quell-Hosts ein-/ausschalten.
d — Anzeige des Ziel-Hosts ein-/ausschalten.
S — Anzeige des Quell-Ports ein-/ausschalten.
D — Anzeige des Ziel-Ports ein-/ausschalten.
t — Wechselt zwischen Anzeigemodi: zweizeilig, einzeilig Senden, einzeilig Empfangen, einzeilig beides.
b — Balkendiagramm ein-/ausblenden.
B — Zwischen Byte/Bit-Anzeige wechseln.
T — Kumulative Gesamtwerte ein-/ausblenden.
l — Anzeigefilter setzen (Suchmuster).
L — Anzahl der angezeigten Zeilen festlegen.
1/2/3 — Sortierung nach 2s / 10s / 40s-Durchschnittsspalte.
</> — Sortierung nach Quelle / Ziel.
j/k — Verbindungsliste nach oben/unten scrollen.
q — iftop beenden.
Typische Anwendungsmuster
iftop -nNP -i eth0 — Vollständig numerische Anzeige mit Ports auf einem bestimmten Interface.
sudo iftop -nNP -i eth0iftop -n -f 'not port 22' — Traffic ohne SSH überwachen (praktisch bei aktiver SSH-Verbindung).
sudo iftop -n -f 'not port 22'iftop -n -f 'dst port 80 or dst port 443' — Nur ausgehenden Web-Traffic überwachen.
sudo iftop -n -f 'dst port 80 or dst port 443'iftop -t -s 60 -n > bandwidth.log — Bandbreitennutzung für 60 Sekunden in eine Datei protokollieren.
sudo iftop -t -s 60 -n > bandwidth.logDie Anzeige lesen
TX (obere Leiste) — Gesamte gesendete Bandbreite.
RX (untere Leiste) — Gesamte empfangene Bandbreite.
TOTAL — Kombinierte TX- und RX-Bandbreite.
2s / 10s / 40s Spalten — Durchschnittliche Bandbreite der letzten 2, 10 und 40 Sekunden.
=> / <= — Pfeilrichtung zeigt den Traffic-Fluss: => ausgehend, <= eingehend.
peak / cum — Peak: höchste gemessene Bandbreite. Cum: kumulativ übertragene Datenmenge.
Fazit
iftop ist dein erster Griff, wenn der Netzwerkdurchsatz unerwartet einbricht oder eine Verbindung den Uplink dominiert. Die BPF-Filtersprache erlaubt dir, sofort auf verdächtigen Traffic zu fokussieren; der Text-Modus macht die Ausgabe scriptfähig. Für tiefere Paketanalyse greifst du danach zu tcpdump oder Wireshark.
Weiterführende Links
- iftop – Projektseite – offizielle Website mit Download und Dokumentation (englisch)
- iftop(8) – Manpage – alle Optionen im Überblick (englisch)
- iftop – Wikipedia – Hintergrund und Einordnung (englisch)