Linux Sniffer怎样排查网络故障

Linux Sniffer（如tcpdump、Wireshark）排查网络故障的步骤如下：

1. 安装工具

   • 命令行工具：tcpdump（轻量级，适合服务器）

     sudo apt install tcpdump  # Debian/Ubuntu
     sudo yum install tcpdump  # CentOS/RHEL
     

   • 图形化工具：Wireshark（需安装图形界面）

     sudo apt install wireshark
     

2. 捕获数据包

   • 指定网卡：sudo tcpdump -i eth0（eth0替换为实际网卡名）
   • 应用过滤条件：
     • 按IP：sudo tcpdump host 192.168.1.100
     • 按端口：sudo tcpdump port 80（HTTP）或 port 443（HTTPS）
     • 保存到文件：sudo tcpdump -w capture.pcap，后续用Wireshark分析

3. 分析网络故障

   • 连通性问题：检查是否有TCP三次握手失败（如只有SYN包无SYN-ACK），可能因防火墙拦截。
   • 延迟/丢包：通过时间戳（-ttt参数）分析RTT（往返时间），或统计重传率（tcpdump -i any -n -vv -s 0 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'）。
   • 协议异常：查看TCP标志位（如RST包异常断开连接）、HTTP状态码（如404/502）。
   • 流量异常：按流量排序（tcpdump -i eth0 -nn -q | awk '{print $3}' | sort -nr），定位大流量来源。

4. 验证与优化

   • 结合ping、traceroute测试基础连通性。
   • 检查防火墙规则（iptables -L）是否限制关键端口。
   • 若为硬件问题（如网线、交换机），需联系运维处理。

注意事项：

• 需root权限运行抓包工具。
• 抓包时避免影响生产环境，建议在非高峰期或镜像端口操作。
• 敏感数据需脱敏，遵守数据隐私法规。

参考来源：