Linux Sniffer如何排查网络问题

Linux Sniffer排查网络问题的流程与技巧

1. 准备阶段：安装与配置Sniffer工具

首先需选择合适的Sniffer工具，常见选项包括：

• tcpdump：命令行工具，轻量高效，适合服务器环境，支持复杂过滤规则；
• Wireshark：图形化工具，功能全面，提供直观的协议解析界面，适合桌面环境；
• tshark：Wireshark的命令行版本，兼具功能性与脚本友好性。
  安装方式（以Debian/Ubuntu为例）：

# 安装tcpdump
sudo apt-get update && sudo apt-get install tcpdump

# 安装Wireshark（含图形界面）
sudo apt-get update && sudo apt-get install wireshark

# 安装tshark（Wireshark命令行版）
sudo apt-get install tshark

注意：抓包需管理员权限（使用sudo），且需确认网卡名称（通过ip addr或ifconfig查看，如eth0、enp0s3、wlan0）。

2. 启动Sniffer：捕获目标流量

启动Sniffer时，需指定网络接口及过滤条件，避免捕获无关流量：

• 基础捕获：监听指定接口（如eth0）的所有流量：

  sudo tcpdump -i eth0
  

• 保存到文件：将捕获的数据包保存为.pcap文件（便于后续分析）：

  sudo tcpdump -i eth0 -w capture.pcap
  

• 实时过滤：仅捕获特定流量（如HTTP流量port 80、目标IP192.168.1.100）：

  sudo tcpdump -i eth0 port 80          # 仅捕获80端口流量
  sudo tcpdump -i eth0 host 192.168.1.100  # 仅捕获与192.168.1.100相关的流量
  

• 命令行工具使用：若需更简洁的输出（如仅显示源/目的IP和端口），可使用tshark：

  sudo tshark -i eth0 -T fields -e ip.src -e ip.dst -e tcp.port
  

3. 分析捕获数据：定位故障根源

捕获数据后，需通过以下方式分析异常：

• 图形化分析（Wireshark）：
  打开.pcap文件，使用过滤表达式缩小范围（如http.request查看HTTP请求、tcp.analysis.retransmission查看TCP重传），查看数据包的源/目的IP、端口、协议、时间戳、数据内容，快速定位问题（如请求无响应、重传频繁）。
• 命令行分析（tcpdump）：
  使用过滤规则解析数据包（如-nn显示IP和端口而非域名、-vvv显示详细信息）：

  sudo tcpdump -r capture.pcap -nn -i eth0 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'  # 查看TCP握手/确认包
  

• 关键指标检查：
  关注丢包率（通过tcpdump的-c计数或Wireshark的“Statistics→Conversations”查看）、延迟（比较数据包的发送与接收时间戳）、协议分布（如大量ARP包可能表示ARP欺骗）。

4. 典型网络问题排查场景

① 网络连接异常（无法访问服务）

• 排查步骤：捕获目标服务的流量（如HTTP服务的80端口），检查是否有请求包（客户端→服务器）和响应包（服务器→客户端）。若只有请求无响应，可能是服务器未运行或防火墙拦截；若请求包异常（如目的IP错误），则是客户端配置问题。
• 示例命令：

  sudo tcpdump -i eth0 host 192.168.1.100 and port 80 -w http_access.pcap
  

  用Wireshark打开http_access.pcap，过滤http.request和http.response，查看是否有响应。

② 数据包丢失或延迟

• 排查步骤：通过Wireshark的“Statistics→Conversations”查看丢包率（若“Lost”列不为0），或通过tcpdump的时间戳分析延迟（如tcpdump -i eth0 -tttt显示绝对时间）。若存在大量TCP重传包（tcp.analysis.retransmission），则说明网络不稳定或拥塞。
• 示例命令：

  sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-rst) != 0' -w tcp_reset.pcap  # 查看TCP重置包（可能因丢包导致）
  

③ 协议异常（如HTTP请求失败）

• 排查步骤：捕获对应协议的流量（如HTTP的80端口、HTTPS的443端口），检查协议字段是否符合规范（如HTTP请求的Host头是否缺失、HTTPS的SSL/TLS握手是否成功）。若存在非法协议字段（如错误的端口号），则可能是客户端或服务端配置错误。
• 示例命令：

  sudo tcpdump -i eth0 port 443 -w https_traffic.pcap  # 捕获HTTPS流量
  

  用Wireshark过滤tls.handshake.type == 1（ClientHello），查看握手是否成功。

5. 注意事项

• 合法性：抓包前需获得网络所有者或用户的明确授权，避免侵犯隐私或违反《网络安全法》等法规；
• 性能影响：长时间捕获大量流量（如全接口、无过滤）可能占用大量磁盘空间（如每秒100MB流量，1小时约36GB）或导致系统卡顿，建议添加过滤规则（如仅捕获特定端口、IP）；
• 数据安全：.pcap文件可能包含敏感信息（如密码、个人信息），需妥善存储（如加密）并限制访问权限；
• 专业分析：数据包分析需具备网络协议知识（如TCP三次握手、HTTP请求响应流程），若无法定位问题，可寻求网络工程师协助。