如何通过Sniffer诊断CentOS网络问题

在 CentOS 上使用抓包工具进行网络诊断

一 工具选型与准备

• 常用抓包工具与用途
  • tcpdump：系统自带、轻量、适合命令行快速抓包与过滤，便于保存为 pcap 供后续分析。
  • Wireshark / tshark：图形化与命令行结合，协议解析能力强，适合深入分析。
  • netsniff-ng：高性能抓包套件，适合高吞吐场景与离线分析。
  • 协议专用嗅探器：如 mysql-sniffer、go-sniffer，用于快速洞察数据库或 Redis 等业务层流量。
• 安装与权限
  • 安装基础依赖与工具（示例以 CentOS 7/8 的 yum/dnf 为例）：
    • 安装抓包依赖与常用工具：sudo yum install -y libpcap libpcap-devel tcpdump wireshark-cli；如需图形界面可再装 wireshark。
    • 安装 netsniff-ng（可选）：sudo yum install -y netsniff-ng。
  • 抓包通常需要 root 或具备 CAP_NET_RAW/CAP_NET_ADMIN 能力的账户；在受控环境下使用，避免对生产造成负载与隐私风险。

二 标准诊断流程

• 步骤1 明确症状与复现路径
  • 记录问题现象（如访问超时、丢包、连接重置）、涉及的 源/目的 IP 与端口、触发操作与时间点，便于抓包时设置精准过滤表达式。
• 步骤2 最小化连通性排查
  • 基础连通性：ping 目标地址；DNS 解析：nslookup/dig 域名；路由可达：ip route get 目标；服务端口：nc -vz 目标 端口。
• 步骤3 选择正确的抓包点
  • 问题在“本机发出/接收”时，在本机抓包；涉及对端或中间设备时，尽量在问题路径更靠近源/目的的一侧抓包（如网关、负载均衡前后）。
• 步骤4 启动抓包并复现问题
  • 原则：抓包时间不宜过长，过滤表达式尽量精确，必要时分两次抓（一次仅过滤目标流量，一次放宽以观察背景噪声）。
• 步骤5 停止抓包并分析
  • 先用基础统计与过滤定位问题方向（握手是否完成、是否有重传/超时、应用层返回码），再下钻到具体报文序列与时间线。
• 步骤6 交叉验证与处置
  • 结合系统状态（如 ss -s、ip -s link、firewalld/iptables 规则）与网络设备侧日志/镜像，验证抓包结论并处置（如修正路由、调整 MTU、优化防火墙策略）。

三 常用抓包命令与过滤示例

• 本机到某主机的 TCP 交互（端口 80/443）
  • 命令：sudo tcpdump -i eth0 -nn -s0 -w /tmp/host80.pcap ‘tcp port 80 or tcp port 443 and host 1.2.3.4’
  • 要点：-nn 不解析主机/端口名，-s0 抓取完整报文，-w 写文件便于 Wireshark 分析。
• HTTP 可见性（抓取 GET/POST 与 Host）
  • 命令：sudo tcpdump -i eth0 -nn -A -s0 ‘tcp port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 or tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)’
  • 要点：-A 以 ASCII 打印负载，便于快速查看 HTTP 方法；仅适用于明文 HTTP。
• DNS 查询异常
  • 命令：sudo tcpdump -i eth0 -nn -vv port 53
  • 要点：观察查询/响应是否成对、响应是否 SERVFAIL/REFUSED、响应是否截断（TC 位）。
• 仅抓取本机作为客户端发起的连接
  • 命令：sudo tcpdump -i eth0 -nn ‘tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0’
  • 要点：SYN 包数量可反映连接发起频率与是否被防火墙拦截。
• 高吞吐场景减少丢包
  • 命令：sudo tcpdump -i eth0 -nn -B 4096 -s0 -w /tmp/high.pcap ‘tcp or udp’
  • 要点：-B 增大缓冲区；必要时缩短抓包时长并分片保存。
• 远程抓包配合图形分析
  • 命令：ssh user@host “sudo tcpdump -i eth0 -nn -s0 -w - ‘tcp port 3306’” | wireshark -k -i -
  • 要点：将远程抓包实时送入本地 Wireshark 界面分析。

四 典型问题与抓包判读要点

• 连通性故障
  • 现象：ping 不通、端口不通。
  • 抓包要点：SYN 发出后是否收到 SYN-ACK；若只有 SYN 无响应，常见于对端未监听、ACL/防火墙拦截、路由不对称或中间设备丢弃。若见 ICMP Destination Unreachable/Fragmentation Needed，检查目标端口与 MTU。
• DNS 解析失败
  • 现象：域名无法解析或解析到错误 IP。
  • 抓包要点：是否发出请求、是否收到响应；响应码是否为 SERVFAIL/REFUSED/NXDOMAIN；是否出现 Truncated（需改用 TCP 53）。
• TCP 建连异常
  • 现象：应用“连接超时/拒绝”。
  • 抓包要点：三次握手是否完成；若仅 SYN 无 SYN-ACK，多为对端未监听/策略拦截；若 SYN 重传多次后放弃，检查对端负载、连接数限制、SYN Flood 防护。
• 数据传输异常
  • 现象：下载慢、页面卡顿、接口偶发失败。
  • 抓包要点：是否存在大量 重传（Retransmission）、重复 ACK（Dup ACK）、快速重传（Fast Retransmit）、零窗口（Zero Window）；这些通常指向链路拥塞、接收端处理不过来或中间设备限速/丢包。
• 应用层错误
  • 现象：HTTP 5xx、MySQL 报错、gRPC 状态码异常。
  • 抓包要点：在确认传输层正常后，聚焦应用层首包与状态码；必要时结合协议专用嗅探器（如 mysql-sniffer、go-sniffer）快速定位慢查询、错误语句或异常握手。

五 进阶工具与合规建议

• 协议专用嗅探器
  • mysql-sniffer：实时打印 MySQL 查询，便于定位慢 SQL 与异常语句；示例：./mysql-sniffer -i eth0；分析离线 pcap：mysql-sniffer -r /path/file.pcap。
  • go-sniffer：多协议嗅探（如 eth0 mysql -p 3306、eth0 redis），轻量便捷，适合快速业务层洞察。
• 性能与稳定性优化
  • 合理设置抓包过滤以减少 CPU/内存与丢包；在高吞吐环境增大缓冲区（如 tcpdump 的 -B 参数），或采用分段抓取与离线分析。
• 合规与安全
  • 抓包涉及网络数据与可能敏感信息，务必取得设备与业务的明确授权，并遵守相关法律法规与企业合规要求；仅在必要范围与时段抓包，妥善保存与分析数据。