VPS KVMVPS KVM

Comment surveiller le trafic réseau sur un VPS : Guide complet & Outils

Apprenez à surveiller le trafic réseau sur votre VPS avec tcpdump, netstat, Wireshark. Contrôlez serveurs, détectez alertes et sécurisez vos réseaux.

Surveiller le trafic réseau sur votre VPS est une étape essentielle pour garantir la sécurité, identifier les anomalies et optimiser les performances de votre serveur. Que vous gériez un site WordPress, un bot Discord, un serveur Minecraft ou une application web, connaître les flux qui transitent sur votre interface réseau vous protège contre les attaques, la saturation et les fuites de données.

Ce tutoriel présente les principaux outils permettant de surveiller le trafic réseau d'un VPS Linux, leur installation, ainsi que la manière d'interpréter les résultats pour identifier rapidement les problèmes.

🎯 Pourquoi surveiller le trafic réseau ?

Avant de présenter les outils, voici les raisons principales pour lesquelles cette pratique est essentielle :

  • Détection d'attaques : identifier les attaques DDoS, les scans de ports et les tentatives de brute force SSH
  • Cybersécurité proactive : repérer les processus suspects qui envoient des données vers des serveurs externes (logiciels malveillants, fuites)
  • Débogage : diagnostiquer un ralentissement, une perte de connectivité ou un problème applicatif
  • Optimisation : mesurer la bande passante consommée et identifier les heures de pic
  • Traçabilité : générer des journaux pour documenter et signaler toute activité anormale à votre administrateur

🛠️ Top 7 outils pour surveiller le trafic réseau

OutilTypeNiveauCas d'usage
netstat / ssCLI nativeDébutantVoir les connexions actives
iftopCLI temps réelIntermédiaireVoir le trafic par IP en direct
nloadCLI temps réelDébutantAperçu graphique entrée/sortie
vnstatCLI cumuléeDébutantStatistiques quotidiennes/mensuelles
tcpdumpCLI captureAvancéCapture de paquets pour débogage
Wireshark / tsharkGUI/CLIAvancéAnalyse approfondie des paquets
NetdataDashboard webTout niveauMonitoring continu avec alertes

1️⃣ Netstat & ss — voir les connexions actives

Pour obtenir un aperçu rapide des clients connectés à votre VPS, utilisez ss, le remplaçant moderne de netstat :

# Toutes les connexions TCP établies
ss -tn state established

# Tous les ports en écoute
ss -tlnp

# Compter les connexions par IP
ss -tn state established | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head

Interprétation : si une seule adresse IP totalise plusieurs centaines de connexions, il s'agit probablement d'une attaque ou d'un robot automatisé. Vous pouvez la bloquer avec la commande ufw deny from <IP>.

netstat est obsolète

Sur les distributions modernes (Ubuntu 20+, Debian 11+), netstat n'est plus installé par défaut. La commande ss offre les mêmes fonctionnalités, avec de meilleures performances. Pour conserver netstat : sudo apt install net-tools.

2️⃣ iftop — visualisation temps réel par IP

iftop affiche en temps réel le trafic par connexion, classé par bande passante consommée. C'est l'outil idéal pour identifier rapidement les connexions qui consomment le plus de ressources réseau.

Installation

sudo apt install iftop      # Debian/Ubuntu
sudo yum install iftop      # CentOS/RHEL

Utilisation

sudo iftop -i eth0

L'interface affiche les adresses IP, les ports et la bande passante en temps réel. Tapez t pour basculer entre les différentes vues (totaux, mode flèches, etc.) et q pour quitter.

3️⃣ nload — aperçu graphique entrée/sortie

nload affiche un graphique en mode texte du trafic entrant et sortant. Sa simplicité en fait un excellent point d'entrée pour les administrateurs débutants.

sudo apt install nload
nload eth0

Vous identifiez immédiatement les pics de trafic (téléchargement, envoi de données, charge serveur). Utilisez les flèches gauche/droite pour naviguer entre les interfaces réseau disponibles.

4️⃣ vnstat — statistiques cumulées

Contrairement aux outils en temps réel, vnstat enregistre les données dans la durée afin de produire des statistiques horaires, journalières et mensuelles.

sudo apt install vnstat
sudo systemctl enable --now vnstat

# Stats du jour
vnstat -d

# Stats du mois
vnstat -m

# Suivi en direct
vnstat -l

Cet outil est particulièrement adapté pour suivre votre quota mensuel de bande passante.

5️⃣ tcpdump — capture de paquets pour débogage

tcpdump est l'outil de référence pour capturer et inspecter les paquets réseau. Basé sur la bibliothèque libpcap, il constitue un outil polyvalent et incontournable pour le débogage réseau.

Installation

sudo apt install tcpdump

Exemples concrets

# Capturer 100 paquets sur eth0
sudo tcpdump -i eth0 -c 100

# Capturer le trafic sur un port spécifique (HTTP)
sudo tcpdump -i eth0 port 80

# Capturer le trafic depuis/vers une IP
sudo tcpdump -i eth0 host 1.2.3.4

# Sauvegarder dans un fichier .pcap pour Wireshark
sudo tcpdump -i eth0 -w capture.pcap
Attention au volume de capture

Une capture sans filtre sur un VPS très sollicité peut générer plusieurs gigaoctets par minute. Il est recommandé d'utiliser systématiquement des filtres (port, host, tcp, etc.) ou une limite explicite avec -c 1000.

6️⃣ Wireshark / tshark — analyse approfondie

Wireshark est l'outil graphique le plus complet pour analyser le trafic réseau. Pour un VPS sans interface graphique, utilisez sa version en ligne de commande tshark.

sudo apt install tshark
sudo tshark -i eth0 -f "port 443" -c 50

Pour une analyse plus poussée, capturez les données avec tcpdump (tcpdump -w capture.pcap), puis téléchargez le fichier .pcap sur votre poste local pour l'ouvrir avec Wireshark (téléchargement gratuit sur wireshark.org).

7️⃣ Netdata — monitoring continu avec alertes

Pour disposer d'un tableau de bord web en temps réel avec historique et alertes automatiques, Netdata est l'une des solutions les plus complètes du marché.

bash <(curl -Ss https://my-netdata.io/kickstart.sh)

Une fois installé, accédez à http://votre-ip:19999 pour consulter :

  • Le trafic réseau en temps réel par interface
  • Les connexions TCP/UDP actives
  • La détection automatique d'anomalies
  • Les alertes par email, Discord ou Slack

🚨 Comment détecter les anomalies

Voici quelques signaux d'alerte courants à surveiller :

Attaque DDoS / SYN flood

# Compter les connexions en attente (SYN_RECV)
ss -tn state syn-recv | wc -l

Au-delà de 50 connexions en attente, il est probable que vous subissiez une attaque SYN flood. Contactez votre hébergeur pour confirmation.

Trop de connexions depuis une même IP

ss -tn | awk 'NR>1 {print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -5

Si une adresse IP dépasse les 100 connexions simultanées, il est conseillé de la bloquer.

Trafic sortant suspect

sudo iftop -i eth0 -P

Si votre serveur émet un volume important de données vers une IP inconnue, cela peut indiquer la présence d'un logiciel malveillant ou une compromission du serveur.

Ports ouverts non prévus

sudo ss -tlnp

Cette commande liste tous les ports en écoute. La présence d'un service inconnu doit déclencher une investigation immédiate.

🛡️ Bonnes pratiques de sécurité

  • Configurer un pare-feu : activez UFW avec ufw enable et n'autorisez que les ports nécessaires (22, 80, 443)
  • Installer fail2ban pour bloquer automatiquement les adresses IP qui multiplient les tentatives de connexion SSH
  • Surveiller régulièrement avec vnstat (cron quotidien) ou Netdata (alertes automatiques)
  • Mettre à jour votre système chaque semaine : sudo apt update && sudo apt upgrade
  • Désactiver l'authentification SSH par mot de passe et privilégier exclusivement les clés SSH
  • Centraliser les journaux : envoyez vos logs (auth, ufw, etc.) vers un serveur dédié afin de pouvoir les analyser ultérieurement
  • Utiliser un VPN WireGuard pour les connexions administratives, ce qui réduit l'exposition par rapport à un accès SSH ouvert sur Internet

🚀 Surveiller un VPS LordHosting

Si vous gérez un VPS KVM LordHosting, vous pouvez installer l'ensemble de ces outils directement via SSH. Notre infrastructure intègre une protection Anti-DDoS Netrix active 24h/24, mais la surveillance applicative reste de la responsabilité de l'administrateur.

Pour les utilisateurs avancés, nos VPS Ryzen offrent des performances optimales pour héberger un tableau de bord de monitoring comme Netdata ou Grafana sans impacter les autres services.

Découvrir nos offres VPS KVM →

📋 Récap rapide — quel outil pour quel besoin ?

BesoinOutil recommandéCommande de base
Voir les connexions activesssss -tn
Top consommateurs en directiftopsudo iftop -i eth0
Aperçu visuel simplenloadnload eth0
Statistiques mensuellesvnstatvnstat -m
Débogage paquet par paquettcpdumpsudo tcpdump -i eth0
Analyse approfondieWiresharkSur PC, fichier .pcap
Dashboard 24/7 + alertesNetdataWeb :19999

En suivant ce guide, vous disposez désormais des connaissances nécessaires pour observer, inspecter, détecter et réagir face à tout trafic suspect sur votre VPS. La cybersécurité repose avant tout sur la visibilité de l'activité réseau.

Pour aller plus loin, consultez notre guide d'installation d'un bot Discord ou notre tutoriel d'installation d'Azuriom sur un VPS.

Retour à VPS KVM
Cet article vous a-t-il aidé ?
Offre de bienvenue

Inscris-toi dès maintenant et profite de 10% de réduction sur ta première commande en entrant le code promotionnel : BIENVENUE

Nos Offres
Offres CloudOffres GamingOffres Web
LordHosting
DocumentationDiscordDemande de partenariat
Moyens de paiementCredit cardPaysafecard
BitcoinEthereumTether USDTUSD CoinLitecoinBNBSolanaPolygonXRPMoneroTRONDogecoin
Logo LordHostingLordhosting est une association sous le numéro RNA suivant W941016871.
Copyright © 2025 LordHosting.
Conditions générales de venteConditions générales d’utilisationMentions légales