Linux Sniffer助力故障排除的实用指南
工作原理与可解决的问题
部署与抓包位置
典型故障与抓包要点
| 症状 | 抓包要点 | 快速判断与动作 |
|---|---|---|
| 无法建立连接(TCP握手失败) | 过滤目标IP与端口,关注SYN→SYN-ACK→ACK或SYN重传 | 若只有SYN无SYN-ACK,常为对端未监听/ACL拦截/上游NAT或端口未开放;检查服务、安全组、路由与NAT映射 |
| 访问间歇性卡顿/超时 | 同时抓客户端/服务端,观察重传(retransmission)、重复ACK、零窗口 | 重传/零窗口增多指向链路拥塞、服务器处理慢或窗口收缩;优化应用、扩容或调优内核/中间件 |
| 丢包与ICMP异常 | 过滤icmp,关注Destination Unreachable/Time Exceeded | 若ICMP不可达伴随特定端口,常见于防火墙/安全组策略阻断;若TTL Exceeded增多,排查路由环路/跨网段MTU问题 |
| ARP异常/地址冲突 | 过滤arp,观察who-has/is-at风暴或不一致 | 大量ARP请求或不一致MAC,多为ARP欺骗/冲突;定位异常主机、启用静态ARP或DHCP Snooping |
| 带宽被异常占用 | 按协议/端口/主机聚合统计,识别Top Talker | 若为P2P/异常进程,限流或封禁;若为业务突发,评估扩容或QoS策略 |
| 上述方法依赖嗅探器对TCP状态机、ICMP报文、ARP解析等的可见性,配合过滤表达式即可快速收敛问题域。 |
高效命令示例与解读
工具选择与落地建议