用 Dumpcap 定位网络性能问题的实操指南
一、定位思路与关键指标
- 吞吐与带宽:观察链路是否被打满(应用吞吐接近或达到网卡/链路上限),识别带宽瓶颈与突发流量尖峰。
- 延迟与抖动:基于 TCP 三次握手与往返时间(RTT)估算应用感知延迟,关注握手耗时、重传引起的时延抖动。
- 丢包与乱序:识别 TCP 重传、重复 ACK、乱序到达等,判断是链路质量、队列溢出还是主机/中间设备问题。
- 连接与错误:统计 TCP 建连失败(SYN 无响应、SYN-ACK 重传)、RST/FIN 异常、超时与零窗口等异常事件。
二、快速上手流程
- 安装与权限
- 在 CentOS/RHEL:sudo yum install -y wireshark(包含 dumpcap)
- 在 Debian/Ubuntu:sudo apt update && sudo apt install -y wireshark
- 权限最小化:将用户加入 wireshark 组或使用能力位:sudo setcap ‘CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/bin/dumpcap
- 最小化捕获命令
- 抓指定接口到文件:sudo dumpcap -i eth0 -w capture.pcap
- 抓指定主机/端口:sudo dumpcap -i eth0 -w app.pcap ‘host 10.0.0.10 and port 443’
- 环形缓冲避免磁盘打满:sudo dumpcap -i eth0 -w cap.pcap -C 100 -W 10(每个文件 100 MB,保留 10 个)
- 只抓包头提升性能:sudo dumpcap -i eth0 -s 96 -w hdr.pcap
- 捕获过滤器语法与显示过滤器不同,请按 BPF 语法书写(如:tcp port 80)
- 停止与回放
- 捕获到问题复现时按 Ctrl+C 停止;用 Wireshark 打开 .pcap 或用 tshark 分析。
三、典型性能问题排查与命令示例
| 症状 |
关键指标/线索 |
建议的 Dumpcap 命令 |
在 Wireshark/tshark 中的验证 |
| 网页打开慢、接口超时 |
TCP 握手耗时大、SYN 重传、HTTP 慢开始 |
sudo dumpcap -i eth0 -w web.pcap ‘tcp port 80 or tcp port 443’ |
统计 → TCP 握手时间;过滤:tcp.flags.syn==1 and tcp.flags.ack==0;tshark -r web.pcap -Y “http.request” -T fields -e http.request.uri |
| 下载/上传速度上不去 |
吞吐接近链路上限、窗口满、零窗口 |
sudo dumpcap -i eth0 -w throughput.pcap ‘tcp’ |
统计 → I/O Graphs;IO 统计:tshark -r throughput.pcap -qz io,stat,0;观察 tcp.window_size 是否长时间为 0 |
| 偶发卡顿或抖动 |
重复 ACK、TCP 重传、乱序 |
sudo dumpcap -i eth0 -w jitter.pcap ‘tcp’ |
过滤:tcp.analysis.retransmission、tcp.analysis.duplicate_ack、tcp.analysis.out_of_order |
| 丢包或链路不稳定 |
ICMP 超时/目标不可达、重传激增 |
sudo dumpcap -i eth0 -w loss.pcap ‘icmp or tcp’ |
过滤:icmp.type==11(超时)、icmp.type==3(目的不可达);统计重传统计 |
| 仅某客户端/服务异常 |
仅特定 5 元组异常 |
sudo dumpcap -i eth0 -w client.pcap ‘host 192.168.1.100 and port 3306’ |
按会话(Statistics → Conversations)定位问题端到端流 |
| 长时间问题定位 |
需要保留历史样本 |
sudo dumpcap -i eth0 -w cap.pcap -C 500 -W 24 |
事后多文件回放分析,聚焦问题时段 |
| 说明:捕获阶段用 BPF 过滤器(如 ‘tcp port 443’);分析阶段再用显示过滤器(如 http、tcp.analysis.retransmission)细化定位。 |
|
|
|
四、用 Wireshark 与 tshark 做量化分析
- 延迟与握手
- 图形化:Statistics → TCP Stream Graphs → Time-Sequence Graph(Stevens),观察握手与数据段斜率。
- 量化:tshark -r app.pcap -Y “tcp.flags.syn==1 and tcp.flags.ack==0” -T fields -e frame.time_relative
- 吞吐与窗口
- I/O 图:Statistics → I/O Graphs,添加过滤器(如 tcp)查看 bps/pps 曲线与峰值。
- 窗口:tshark -r throughput.pcap -T fields -e tcp.window_size -e frame.time_relative
- 重传与丢包
- 事件计数:tshark -r jitter.pcap -q -z io,stat,0,“COUNT(tcp.analysis.retransmission)”,“COUNT(tcp.analysis.duplicate_ack)”
- 事件定位:过滤 tcp.analysis.retransmission、tcp.analysis.duplicate_ack、icmp.type==11
- 会话与端点
- Statistics → Conversations / Endpoints,按 bps、包数、重传 排序,快速锁定异常对端或端口。
五、排错与性能优化建议
- 权限与安全
- 优先使用 wireshark 组 或 CAP_NET_RAW/CAP_NET_ADMIN 能力位,避免长期以 root 运行;sudo usermod -aG wireshark $USER 后需重新登录生效。
- 降低对业务与磁盘的影响
- 使用环形缓冲(-C/-W)、限制抓包长度(-s)、精准捕获过滤器(BPF),必要时只在问题复现时短时开启。
- 系统资源与稳定性
- 提升文件描述符上限:ulimit -n 65535 或编辑 /etc/security/limits.conf;高流量下关注 CPU/磁盘 I/O。
- 分析效率
- 先用捕获过滤器缩小范围,再用显示过滤器精确定位;大文件用 I/O 图与统计视图快速聚焦异常时段与流。