怎样通过Linux Sniffer排查网络问题

通过Linux Sniffer（如tcpdump）排查网络问题的步骤如下：

1. 安装工具：

   • 命令行工具（如tcpdump）：

     # Debian/Ubuntu  sudo apt-get install tcpdump # CentOS/RHEL  sudo yum install tcpdump 

   • 图形化工具（如Wireshark）：

     # Debian/Ubuntu  sudo apt-get install wireshark # CentOS/RHEL  sudo yum install wireshark 

2. 抓取数据包：

   • 指定网卡抓包（如eth0）：

     sudo tcpdump -i eth0 

   • 保存为文件（后续分析）：

     sudo tcpdump -i eth0 -w capture.pcap 

   • 按条件过滤（如HTTP流量、特定IP）：

     sudo tcpdump -i eth0 port 80 and host 192.168.1.100 -w http.pcap 

3. 分析数据包：

   • 命令行查看（如抓取TCP握手过程）：

     sudo tcpdump -nn -r capture.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0' 

   • 图形化工具分析（Wireshark）：
     打开.pcap文件，查看协议解析、会话跟踪、异常报文（如丢包、延迟）。

4. 排查典型问题：

   • 网络连接问题：检查是否有ICMP请求/响应、TCP握手是否完整。
   • 数据包丢失/延迟：分析时间戳和序列号（SEQ/ACK），查看是否有重传或超时。
   • 协议异常：查看协议字段（如HTTP请求方法、DNS查询内容）是否符合预期。

5. 注意事项：

   • 需使用sudo获取权限，避免抓取敏感数据。
   • 限制抓包数量（-c）或长度（-s0）以减少性能影响。
   • 离线分析时优先使用Wireshark等工具解析复杂协议。

参考来源：