top和htop看不到带宽占用进程,因其不采集网络I/O数据;真实原因包括iptables转发、AF_PACKET抓包、eBPF程序、容器桥接绕过协议栈等,需用nethogs、ss、tc、bpftool等工具分层排查。
为什么 top 和 htop 看不到带宽占用进程
因为 top 和 htop 只显示 CPU、内存、进程状态等指标,不采集网络 I/O 数据。带宽打满但业务响应正常,往往意味着流量是“流经”系统而非“消耗”在本地——比如服务器作为透明代理、NAT 网关、或开启了 iptables 转发且未限速;又或者容器桥接模式下,流量绕过主机协议栈(如使用 hostNetwork: true 的 Pod),导致 /proc/net/dev 有计数,但 ss -i 或 netstat 查不到对应 socket 所属进程。
如何定位真实发包/收包进程
用 ss -tunlp 查监听端口和所属 PID,但注意:它只显示有 socket 绑定的连接;对于纯转发(如 iptables -j DNAT)、AF_PACKET 抓包(如 tcpdump、suricata)、或 eBPF 程序(如 cilium 的 datapath),需换方法:
- 运行
sudo cat /proc/net/dev确认哪个网卡(如eth0)RX/TX 持续高位,再用sudo tc -s class show dev eth0看是否有 qdisc 限速或队列堆积 - 用
sudo nethogs -t实时按进程统计带宽,它基于libpcap抓包解析,能捕获转发流(但会引入轻微性能开销) - 检查是否启用
nf_conntrack:高并发短连接可能让 conntrack 表爆满,导致内核大量重传或伪造 ACK,表现为“带宽占满却无业务报错”,此时cat /proc/sys/net/nf_conntrack_count接近/proc/sys/net/nf_conntrack_max
iptables FORWARD 链规则引发的隐性带宽消耗
若服务器启用了 ip_forward=1,且 iptables -t filter -L FORWARD 中存在大量 LOG 目标规则(如调试遗留),每条匹配日志都会触发内核写入 dmesg 缓冲区,而 rsyslog 或 journald 实时读取这些日志时,会反复调用 recvfrom() 从 /dev/log 或 AF_UNIX socket 收包——这本身就会产生可观的环回流量,并被计入 lo 接口统计,误判为“业务流量”。
- 临时禁用 LOG 规则:
sudo iptables -t filter -D FORWARD -m state --state RELATED,ESTABLISHED -j LOG - 确认日志速率:
dmesg -T | tail -50 | grep "IN="看是否高频输出网络事件 - 更稳妥的做法是改用
nflog+ 用户态收集,避免内核路径阻塞
容器或虚拟化环境下的“幽灵带宽”
在 Kubernetes 或 KVM 场景中,docker0、cni0、virbr0 等网桥接口的流量常被忽略。例如:calico 使用 BPF 程序做策略路由,其数据平面绕过 netfilter,iptables -t nat -L POSTROUTING 看不到 SNAT 规则,但 tc filter show dev cali+ 可能显示大量匹配动作;又如 QEMU 启用 vhost-net 后,virtio-net 发包直接进内核 vhost 内存区,不经过常规 socket 路径。
- 查桥接流量:
watch -n1 'cat /sys/class/net/docker0/statistics/{rx,tx}_bytes' - 查 eBPF 程序:
bpftool prog list | grep -E "(tc|classifier|xdp)" - 检查是否启用
net.ipv4.conf.all.forwarding=1且未配rp_filter,导致反向路径校验失败后持续丢包重传
真正难排查的是那些不走 socket、不记 conntrack、也不触发 iptables 日志的路径——比如 DPDK 应用、SR-IOV VF 直通、或内核模块自定义 sk_buff 处理。这时候得看 /proc/interrupts 是否某 CPU 核中断飙升,再结合 perf record -e irq:softirq_entry -a sleep 10 定位软中断来源。
