Linux中查看网卡流量工具有iptraf、iftop以及nethogs等，
iftop可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等。

1、安装iftop
centos安装iftop的命令如下：

yum install iftop -y

2、查看网卡实时流量命令：

iftop -i eth1

其中eth1是服务器的公网网卡，网卡名称可以通过ip addr 查看

执行命令查看外网占用带宽情况，能查看到相应IP占用带宽的情况， 从而判断哪个占用带宽最多，是否恶意连接：

将占用带宽最多的IP，用防火墙或者安全组屏蔽访问即可。

当然，最好是观察一段时间，如果是持续占用带宽，加上IP是外地的，那就完全可以屏蔽它。为了更好的监控某个特定IP的带宽访问情况，可以执行命令：

iftop -i eth1 -B -F 182.92.***.20

显示182.92..20这个IP与服务器的网卡eth1交互的数据量，单位是Byte。*

界面说明:

"<="与"=>"，表示的是流量的方向
"TX"：从网卡发出的流量
"RX"：网卡接收流量
"TOTAL"：网卡发送接收总流量
"cum"：iftop开始运行到当前时间点的总流量
"peak"：网卡流量峰值
"rates"：分别表示最近2s、10s、40s 的平均流量

可以通过键盘的"q"键退出iftop