如何使用Linux Sniffer进行网络诊断

使用Linux Sniffer进行网络诊断的核心步骤如下：

一、安装工具

• 命令行工具（推荐轻量级场景）
  • tcpdump：适用于服务器/嵌入式设备，支持抓包、过滤和保存数据包。

    # Debian/Ubuntu  
    sudo apt-get install tcpdump  
    # CentOS/RHEL  
    sudo yum install tcpdump  
    

• 图形化工具（适合直观分析）
  • Wireshark：支持协议解析、会话跟踪和可视化统计。

    # Debian/Ubuntu  
    sudo apt-get install wireshark  
    # CentOS/RHEL  
    sudo yum install wireshark  
    

二、基础抓包操作

1. 指定接口抓包

   sudo tcpdump -i eth0  # 监听eth0接口的所有流量  
   

2. 过滤特定流量
   • 按端口（如HTTP）：sudo tcpdump -i eth0 port 80
   • 按IP（如特定主机）：sudo tcpdump -i eth0 host 192.168.1.100
   • 保存为文件（后续分析）：sudo tcpdump -i eth0 -w capture.pcap

三、数据分析方法

• 命令行解析
  • 查看包头部信息（源/目标IP、端口等）：

    sudo tcpdump -r capture.pcap -nn -X  # -X显示十六进制和ASCII内容  
    

• 图形化工具分析
  • 用Wireshark打开.pcap文件，支持：
    • 协议自动分类（HTTP、DNS、TCP等）。
    • 过滤器（如http、tcp.port == 22）快速定位异常流量。

四、典型诊断场景

1. 网络连接问题
   • 抓取TCP三次握手包，检查SYN/ACK响应是否正常。
2. 数据包丢失/延迟
   • 分析时间戳字段，对比发送与接收时间差。
3. 协议异常
   • 检查HTTP请求/响应头是否合规，或是否存在非标准协议流量。
4. 安全威胁检测
   • 监控异常端口流量（如非业务使用的3306数据库端口）。

五、注意事项

• 合法性：需提前获取授权，避免在未授权网络中使用。
• 性能影响：抓包会占用带宽和CPU资源，建议限制抓包数量或使用过滤器。
• 工具选择：服务器环境优先用tcpdump，复杂分析用Wireshark。

参考来源：