对任何规模的业务来说，网络监控工具都 是一个重要的功能。网络监控的目标可能千差万别。比如，监控活动的目标可以是保证长期的网络服务、安全保护、对性能进行排查、网络使用统计等。由于它的目 标不同，网络监控器使用很多不同的方式来完成任务。比如对包层面的嗅探，对数据流层面的统计数据，向网络中注入探测的流量，分析服务器日志等。

尽管有许多专用的网络监控系统可以365天24小时监控，但您依旧可以在特定的情况下使用命令行式的网络监控器，某些命令行式的网络监控器在某方面很有用。如果您是系统管理员，那您就应该有亲身使用一些知名的命令行式网络监控器的经历。这里有一份Linux上流行且实用的网络监控器列表。

　　包层面的嗅探器

在这个类别下，监控工具在链路上捕捉独立的包，分析它们的内容，展示解码后的内容或者包层面的统计数据。这些工具在最底层对网络进行监控、管理，同样的也能进行最细粒度的监控，其代价是影响网络I/O和分析的过程。

dhcpdump：一个命令行式的DHCP流量嗅探工具，捕捉DHCP的请求/回复流量，并以用户友好的方式显示解码的DHCP协议消息。这是一款排查DHCP相关故障的实用工具。

dsniff：一个基于命令行的嗅探、伪造和劫持的工具合集，被设计用于网络审查和渗透测试。它可以嗅探多种信息，比如密码、NSF流量(LCTT 译注：此处疑为 NFS 流量)、email消息、网络地址等。

httpry：一个HTTP报文嗅探器，用于捕获、解码HTTP请求和回复报文，并以用户友好的方式显示这些信息。

IPTraf：基于命令行的网络统计数据查看器。它实时显示包层面、连接层面、接口层面、协议层面的报文/字节数。抓包过程由协议过滤器控制，且操作过程全部是菜单驱动的。

 

mysql-sniffer：一个用于抓取、解码MySQL请求相关的数据包的工具。它以可读的方式显示最频繁或全部的请求。

ngrep：在网络报文中执行grep。它能实时抓取报文，并用正则表达式或十六进制表达式的方式匹配(过滤)报文。它是一个可以对异常流量进行检测、存储或者对实时流中特定模式报文进行抓取的实用工具。

p0f：一个被动的基于包嗅探的指纹采集工具，可以可靠地识别操作系统、NAT或者代理设置、网络链路类型以及许多其它与活动的TCP连接相关的属性。

pktstat：一个命令行式的工具，通过实时分析报文，显示连接带宽使用情况以及相关的协议(例如，HTTP GET/POST、FTP、X11)等描述信息。

 

Snort：一个入侵检测和预防工具，通过规则驱动的协议分析和内容匹配，来检测/预防活跃流量中各种各样的后门、僵尸网络、网络钓鱼、间谍软件攻击。

tcpdump：一个命令行的嗅探工具，可以基于过滤表达式抓取网络中的报文，分析报文，并且在包层面输出报文内容以便于包层面的分析。他在许多网络相关的错误排查、网络程序debug、或安全监测方面应用广泛。

tshark：一个与Wireshark窗口程序一起使用的命令行式的嗅探工具。它能捕捉、解码网络上的实时报文，并能以用户友好的方式显示其内容。

(责任编辑：安博涛)