Debian环境下如何用Dumpcap进行故障排查

Debian环境下用 Dumpcap 进行故障排查

一 环境准备与权限配置

• 安装必要组件：sudo apt update && sudo apt install -y wireshark wireshark-common wireshark-cli（安装过程中选择允许非 root 抓包）。完成后确认可执行文件：which dumpcap。
• 权限方案一（推荐）：将当前用户加入 wireshark 组，注销并重新登录后再使用 dumpcap。
  命令：sudo usermod -aG wireshark “$USER”；groups 查看是否已加入；ls -lah /usr/bin/dumpcap 应看到组为 wireshark。
• 权限方案二：为二进制授予能力，使普通用户可直接抓包。
  命令：sudo setcap ‘CAP_NET_RAW+ep CAP_NET_ADMIN+ep’ /usr/bin/dumpcap（路径在不同系统可能是 /usr/sbin/dumpcap，可用 which dumpcap 确认）。
• 合规提示：抓包可能涉及隐私与合规要求，务必确保对目标网络与主机具备合法授权。

二 快速定位与验证步骤

• 列出接口：ip a 或 ifconfig，确认要排查的网卡名称（如 eth0、ens33、wlan0）。
• 权限快速验证：dumpcap -D 若不再报权限错误，说明权限配置生效。
• 本机环回抓包：dumpcap -i any -c 10 -w loopback.pcap（仅用于本机进程间通信问题定位）。
• 指定接口抓包：dumpcap -i eth0 -c 100 -w capture.pcap。
• 带过滤抓包：dumpcap -i eth0 -f “tcp port 80” -w http.pcap（仅抓取目的或源端口为 80 的 TCP 流量）。
• 后台持续抓包并按大小滚动：dumpcap -i eth0 -w /var/log/cap.pcap -b filesize=10485760 -b files=5（单个文件 10MB、最多 5 个文件）。
• 终止与回收：Ctrl+C 停止；如需分析，使用 Wireshark 打开 .pcap 或用 tshark 进行命令行分析。

三 常见故障与修复对照表

四 高效排查命令模板

• 高丢包定位：dumpcap -i eth0 -f “tcp or udp” -w loss.pcap -b filesize=10485760 -b files=10（长时抓包并滚动，便于回溯）。
• HTTP/HTTPS 问题：dumpcap -i eth0 -f “tcp port 80 or tcp port 443” -w web.pcap（先抓明文 80，若需 443 内容需配合服务器端密钥或在客户端抓包）。
• DNS 解析异常：dumpcap -i eth0 -f “udp port 53 or tcp port 53” -w dns.pcap（观察查询与响应是否异常）。
• 仅看 ARP/ND：dumpcap -i eth0 -f “arp or icmp6” -w arpnd.pcap（二层邻居与地址解析问题定位）。
• 分析建议：用 Wireshark 打开生成的 .pcap，结合“统计 → 协议分级”“IO 图表”“专家信息”快速定位异常；命令行可用 tshark -r web.pcap -Y “http.response.code != 200”。