Linux查看带宽占用及流量进程查找方法

本文深入解析了Linux下三大核心网络监控工具——nethogs、nload和iftop的适用场景、关键限制与常见误区：nethogs是唯一能直接按进程维度实时展示带宽占用的利器，但必须sudo运行且需显式指定网卡；nload以轻量高效见长，专精于网卡级总吞吐量观测，却无法关联进程或连接；iftop则擅长揭示IP端口级实时通信关系，却缺失进程上下文。三者逻辑迥异、权限不同、单位易混、行为受限，盲目混用极易导致误判；当工具输出异常（如空白界面或大量unknown连接）时，需结合ss和lsof等底层命令交叉验证，方能准确定位真实瓶颈与流量源头。

直接看进程级流量，nethogs 是唯一能开箱即用的工具；想快速摸清网卡总吞吐量，nload 最省心；若需定位到具体 IP 或端口连接，iftop 不可替代——但三者行为逻辑、权限要求和输出含义完全不同，混用容易误判。

为什么 nethogs 必须加 sudo 才能显示真实进程流量

nethogs 依赖 libpcap 捕获原始数据包，必须拥有 CAP_NET_RAW 权限。不加 sudo 会报错：Unable to create socket: Permission denied，哪怕只监控 lo 接口也一样。

• 启动时必须显式指定网卡，如 sudo nethogs eth0；默认尝试 eth0，在云服务器（如阿里云 ens33、AWS eth1）上大概率失败
• 多网卡需一次列出：sudo nethogs eth0 wlan0，运行中无法动态增删接口
• 按 m 切换单位时注意：kb/s 是千比特每秒（×125 字节），KB 是千字节（×1024 字节），数值差约 8 倍
• -t（跟踪模式）下显示的是累计流量（单位 KB），不是瞬时速率，此时 s/r 排序键失效

nload 看总吞吐量时单位与刷新陷阱

nload 直接读 /proc/net/dev，零抓包、低开销，适合日常巡检。但它不区分进程，也不解析连接，只反映网卡层整体收发速率。

• nload -u M 中的 M 是兆比特每秒（Mbps），不是 MB/s；100 Mbps ≈ 12.5 MB/s，别拿它直接对比磁盘写入速度
• nload -m 同时监控多个接口时，各接口刷新不同步，界面易挤，峰值不可叠加判断
• nload 默认刷新间隔是 1000ms；设为 -t 200（200ms）可能触发终端重绘抖动，尤其在 SSH 延迟高时
• 不加参数运行时，它自动选第一个非 lo 接口（如 ens33），但不会告诉你选了哪个——用 nload -h 查当前监控设备

iftop 显示连接流量但无法关联进程名

iftop 基于抓包，能看到每个 IP:port ⇄ IP:port 的实时速率，但看不到背后是哪个进程在发包——这是它和 nethogs 的根本区别。

• 必加 -n（禁 DNS 解析）和 -N（显端口号），否则界面卡顿、信息冗余，甚至阻塞响应
• TX/RX 单位默认是 bits/s；加 -B 才切到 bytes/s，避免和 nethogs 的 KB/s 数值对不上
• sudo iftop -F 192.168.1.0/24 可过滤网段，但过滤规则由 libpcap 解析，不支持 CIDR 外的语法（如不能写 /255.255.255.0）
• 看到异常 IP 别急着封禁：先确认是否是云厂商健康检查、CDN 回源或合法爬虫；iptables -A INPUT -s x.x.x.x -j DROP 可能误杀

真正要归因到进程，nethogs 是唯一选择；但它的输出受容器网络命名空间、systemd socket 激活机制影响较大，空白界面或满屏 unknown TCP 往往不是工具问题，而是环境限制——这时候得结合 ss -tunp 和 lsof -i 手动交叉验证。

理论要掌握，实操不能落！以上关于《Linux查看带宽占用及流量进程查找方法》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！