Monitoraggio della larghezza di banda per sviluppatori e sysadmin su Mac

Una test suite che dovrebbe impiegare 90 secondi ne sta impiegando 14 minuti, e la CI va in timeout. Anche l'esecuzione locale è lenta. Attacchi un profiler — la CPU è a posto. La memoria è a posto. Poi noti che la fixture del test sta facendo qualche centinaio di richieste HTTPS in uscita per esecuzione perché qualcuno ha aggiunto una chiamata a un'API reale nell'hook di setup tre mesi fa, e adesso ogni PR sta martellando un endpoint sandbox che è appena stato rate-limitato. Un monitoraggio della larghezza di banda l'avrebbe colto al primo giorno.

Per sviluppatori e sysadmin su Mac, l'osservabilità di rete è una di quelle competenze che si compongono. Una volta che sai quale strumento risponde a quale domanda, smetti di sprecare ore su problemi che in realtà sono un processo impazzito che fa qualcosa di ovvio. Questo articolo è lo stack pratico: quando usare tcpdump, quando Wireshark, quando nettop, quando un monitor per app come ova, e come combinarli. Se hai cercato monitor di larghezza di banda per sviluppatori Mac, l'obiettivo qui è l'albero decisionale pratico, non il giro promozionale.

I quattro livelli, in breve

Gli strumenti diagnostici coprono quattro livelli di astrazione:

1. Byte dei pacchetti — tcpdump. Ogni byte sul filo, più gli header. Il livello più basso. Ottimo per catturare e poi analizzare.
2. Ispezione dei pacchetti — Wireshark. I dati di tcpdump, decodificati in livelli di protocollo leggibili. Eccellente per capire cosa sta facendo una connessione.
3. Live per processo — nettop. Nativo macOS, mostra connessioni e velocità correnti per processo.
4. Aggregato per app nel tempo — ova. App nella barra dei menu, timeline scorrevoli, raggruppamento dei processi ausiliari.

Il trucco per usarli bene è abbinare il livello alla domanda. Se chiedi "quanta banda ha usato la nostra test suite la settimana scorsa", tcpdump è la risposta sbagliata; ova o uno strumento simile di cronologia per app è quella giusta. Se chiedi "perché questa specifica connessione HTTPS è lenta", nettop non te lo dirà — ti serve Wireshark.

tcpdump: la vista byte-sul-filo

tcpdump c'è su ogni Mac. È lo strumento giusto quando:

• Sospetti un problema di protocollo specifico (fallimenti dell'handshake TLS, ritrasmissioni, frammentazione).
• Devi catturare il traffico per analisi successiva.
• Stai lavorando su una macchina di classe server dove gli strumenti GUI non sono disponibili.

Una cattura di default utile:

sudo tcpdump -i en0 -n -s 0 -w capture.pcap

• -i en0 — cattura sull'interfaccia Wi-Fi (usa en1 per ethernet sui Mac che hanno entrambe, o controlla ifconfig).
• -n — non risolvere gli hostname (molto più veloce).
• -s 0 — cattura il pacchetto completo, non solo gli header.
• -w capture.pcap — scrivi su un file pcap leggibile da Wireshark.

Per filtrare:

sudo tcpdump -i en0 -n 'host api.example.com and port 443'
sudo tcpdump -i en0 -n 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0'

Il primo cattura solo il traffico verso uno specifico hostname su HTTPS. Il secondo cattura solo il setup/teardown della connessione TCP — utile per contare connessioni senza affogare nei byte di payload.

Wireshark: decodifica del protocollo

Wireshark legge i file pcap e li decodifica in una gerarchia leggibile: frame Ethernet, pacchetto IP, segmento TCP, record TLS, richiesta HTTP. Gratuito, locale, nessuna componente cloud. Installa via Homebrew:

brew install --cask wireshark

Il linguaggio dei display filter è la magia. Qualche filtro ad alto impatto:

• http.response.code >= 400 — mostra le risposte HTTP fallite.
• tcp.analysis.retransmission — mostra le ritrasmissioni TCP, spesso un segno di congestione di rete o problemi del peer.
• tls.handshake.type == 1 — mostra i Client Hello TLS (uno per connessione).
• dns and dns.qry.name contains "example.com" — mostra le query DNS per un dominio specifico.

Wireshark è eccessivo per "quanta banda ha usato Slack oggi" ma esattamente giusto per "perché questa particolare connessione va in timeout a 30 secondi quando le altre riescono". È anche lo strumento giusto quando hai un pcap catturato da una macchina client e devi indagare dopo i fatti.

nettop: la vista live per processo

nettop arriva con macOS. È l'equivalente integrato più vicino a un monitor live per app:

sudo nettop -P -m route

Flag utili:

• -P — raggruppa per processo.
• -m route — mostra le info di route (quale interfaccia).
• -x — mostra i conteggi byte (non solo le velocità).
• -c <interval> — refresh periodico, es. -c 2.
• -J bytes_in,bytes_out,interface — scegli colonne specifiche da mostrare.

nettop è solo testo, refresha la propria schermata e funziona via SSH. È lo strumento giusto quando ti serve una rapida risposta "c'è qualcosa di strano adesso" su un Mac remoto (un runner CI, la macchina di un collega in cui sei in SSH per il triage).

Lo svantaggio: nettop non ha cronologia. Nel momento in cui esci, i dati spariscono.

ova: cronologia per app con raggruppamento ausiliari

ova sta nella barra dei menu e fornisce ciò che nettop non fornisce: cronologia persistente, timeline scorrevoli e raggruppamento dei processi ausiliari. Campionando a circa 1 Hz, i dati sono scritti localmente e restano finché non li elimini.

Le due cose che ova fa e gli strumenti integrati no:

1. Raggruppamento dei processi ausiliari. Chrome crea un PID helper per scheda; Slack ha la sua architettura di helper; Discord, Telegram, le app Electron in generale fanno questo. nettop le mostra come righe separate ("Slack Helper (Plugin)", "Slack Helper (GPU)", ecc.), che è tecnicamente corretto ma illeggibile. ova le raggruppa sotto "Slack" così la riga è quello che intendi davvero.
2. Cronologia scorrevole. "Cosa è successo martedì scorso alle 15" è risolvibile cliccando e trascinando sulla timeline. La risposta di nettop è "non ne ho idea, non stavo girando".

Per il quotidiano di uno sviluppatore — "la build ha martellato il registry," "quale test ha tirato giù 4 GB," "cos'è quel picco ricorrente all'inizio di ogni ora" — ova risponde rapidamente senza cerimonie. nettop è il tuo fallback quando ti serve "adesso, senza installazione".

Esempi concreti

Debug di un'API martellata

Un team si lamenta che l'API di staging è lenta. Sospetti che un client sia in un loop di retry. Con ova nella barra dei menu sul Mac dello sviluppatore incriminato, scorri all'orario della lentezza e vedi lo strumento CLI del team che fa picchi a 80 MB/s per 15 minuti. Ecco il filo. Apri Wireshark su una cattura di 30 secondi e conferma: ogni richiesta riceve un 503 e il client riprova con un backoff di 100 ms. Il bug è nella policy di retry — esponenziale, non costante — e adesso sai esattamente cosa sistemare.

Trovare un processo di test impazzito

La CI è a posto ma le esecuzioni locali dei test sono lente. Apri ova, lancia la suite, scorri il picco. Vedi node che tira giù 200 MB durante una finestra di 30 secondi. tcpdump filtrato sulla porta sospetta mostra che la fixture del test sta recuperando dati live da un CDN reale ad ogni test, invece di usare le fixture registrate. Sostituisci con una fixture locale, la suite torna a 90 secondi.

Uscita a sorpresa da una libreria di terze parti

Una review di compliance chiede se la codebase telefona a casa da qualche parte. L'analisi statica è parziale; l'unica risposta definitiva è "guarda la rete durante un uso rappresentativo". Esegui l'app per un'ora con ova; cattura la stessa ora con tcpdump per verifica. Incrocia le destinazioni viste nella colonna hostname di nettop. Qualsiasi cosa inattesa viene investigata. Questo tipo di audit è difficile senza cronologia per app.

Un agent di sync impazzito sulla flotta di un sysadmin

Messaggio Slack interno: "il mio Mac sembra lento". Fai SSH, esegui sudo nettop -P -m route. Un agent di backup che tutti hanno dimenticato di aver installato sta facendo una re-indicizzazione completa, tirando giù 30 MB/s sostenuti. Uccidi il daemon, apri un ticket per sistemare lo schedule. Sistemazione in cinque minuti, sarebbe stata un'ora senza lo strumento giusto.

Vedi ova in azione

Un monitor della larghezza di banda nella barra dei menu visibile a colpo d'occhio — locale, firmato, ~3 MB.

Scarica per macOS

Hook scriptabili

Per l'automazione:

nettop in output JSON-ish

nettop -P -L 1 -k state,interface_name,rx_dupe,rx_ooo,re-tx,rtt_avg,rcvsize,tx_win,tc_class,tc_mgt,cc_algo,P,C,R,W -J bytes_in,bytes_out

Produce un singolo campione (il flag -L 1) che puoi catturare in uno script. Convoglia in awk o jq dopo qualche aggiustamento.

Soglie di banda

Uno script rapido "alert se qualche processo supera X" può essere costruito attorno a nettop:

sudo nettop -P -L 1 -J bytes_in,bytes_out -k state,interface_name,P,C,R,W \
  | awk 'NR>1 && ($2+$3) > 1000000 {print}'

(Grezzo, ma funzionante.) Per una versione di qualità produzione, guarda iftop per traffic-by-host o bmon per livello di interfaccia.

tcpdump come watchdog

sudo tcpdump -i en0 -n 'host suspicious.example.com' -w "/tmp/capture-$(date +%Y%m%d-%H%M).pcap" -G 3600 -W 24

Ruota un file di cattura da 1 ora, ne tiene 24. Utile per "non so quando succede ma voglio prenderlo la prossima volta".

Export di ova

ova scrive la sua cronologia in locale. Se devi alimentare quello in una dashboard o report, il percorso di export è il punto di partenza giusto — i dati sono tuoi, e non c'è uno strato di sync vendor in mezzo.

Scegliere il monitor della larghezza di banda di cui i flussi degli sviluppatori Mac hanno davvero bisogno

Una matrice breve:

Il pattern è: nettop e ova per "cosa" e "quando", tcpdump e Wireshark per "perché" a livello di protocollo. La maggior parte delle domande rivolte agli sviluppatori si risponde senza mai aprire Wireshark — è uno strumento a frequenza più bassa riservato a problemi di protocollo genuinamente confusi.

Pattern specifici per sysadmin

Se mantieni una flotta di Mac (piccolo team, studio di design, casa di video), i pattern sono diversi:

• Discovery prima. Esegui sudo nettop -P -m route su ogni macchina via SSH o gestione remota per vedere cosa gira. Cerca processi non familiari — segni rivelatori di estensioni del browser indesiderate, adware in bundle o software beta dimenticato.
• Cronologia sui power user. Per gli utenti pesanti di rete nel team (video editor che caricano dailies, dev che pushano artefatti grandi), uno strumento di cronologia per app coglie i problemi ricorrenti senza dover essere lì nel momento in cui accadono.
• Baseline documentata. Cattura l'output di nettop per un Mac "buono" e un Mac "che si lamenta". Il diff è di solito ovvio.

Cosa fare dopo

Se parti da zero su uno stack di monitor della larghezza di banda per sviluppatori Mac, installa ova per la vista cronologia sempre attiva, impara le tre incantazioni di nettop sopra, e segna Wireshark nei segnalibri per quando ti servirà. Quello è il working set. La maggior parte dei problemi nella giornata di uno sviluppatore o sysadmin si risolve a livello di app o processo; gli strumenti a livello di pacchetto sono lì per i casi più difficili che si presentano mensilmente, non quotidianamente.

La test suite che martella un'API, l'agent di sync impazzito, il runner CI che sta segretamente scaricando 8 GB per build — tutti questi sono visibili nel momento in cui hai aperto lo strumento giusto. Il costo è qualche minuto di setup. Il guadagno è la prossima volta che qualcosa è "lento senza motivo" e la risposta è nella barra dei menu invece di due ore di caccia col profiler.