Linux Sniffer故障诊断实战指南
一、诊断流程与定位思路
二、常用工具与关键命令
三、典型故障的抓包诊断要点
| 症状 | 抓包位置 | 关键过滤 | 判读要点 |
|---|---|---|---|
| 无法连通(ping/SSH) | 客户端、服务器、网关 | icmp or port 22 | 请求是否有ICMP应答/ARP解析;TCP SYN是否到达服务器、是否返回SYN-ACK或RST |
| 高时延/卡顿 | 客户端、服务器、瓶颈链路 | host A and host B | 观察RTT、重传(retransmission)、重复ACK、零窗口(zero window) |
| 丢包/应用超时 | 发送端、接收端、中间设备 | port 80 or port 443 | TCP重传、乱序(out-of-order)、丢包指示(如ICMP) |
| DNS解析慢/失败 | 客户端、DNS服务器 | udp port 53 or port 53 and host DNS_IP | 请求是否发出、是否SERVFAIL/REFUSED、响应时延 |
| 异常流量/疑似DoS | 入口镜像、受害主机 | icmp or udp or tcp | ICMP洪泛、异常SYN洪泛、畸形/超大报文、异常协议占比 |
| ARP异常/IP冲突 | 同网段主机 | arp | ARP请求/响应风暴、同一IP对应多个MAC |
| 防火墙/ACL拦截 | 客户端、服务器、边界 | host A and host B | 仅一方收不到包或仅SYN无SYN-ACK,结合策略验证放行规则 |
| 说明:tcpdump输出中的**S/F/P/R/.**标志位、ack、win等字段可快速判断握手、确认与窗口问题;图形化工具可辅助统计与可视化。 |
四、高效过滤表达式与解读技巧
五、排错清单与最佳实践