首先介绍什么是抓包抓包网络分析的核心技术指通过软件工具截获并记录计算机网络中传输的数据包以便进行详细分析。抓包的本质网络通信本质上是数据包的传输。抓包工具充当网络嗅探器在数据流经网卡时进行复制和记录就像电话搭线窃听一样但用于合法的技术分析。什么情况会用到抓包1.网络故障当你发现某个网站打不开、APP连不上、网速很慢时抓包能帮你搞清楚是:根本没发出请求发出去服务器没回应服务器回应了但数据错了还是中间某个环节断掉了定位连接超时、丢包、延迟等问题根源分析 TCP 重传、乱序、窗口问题诊断 DNS 解析失败、路由异常2.接口调试前后端开发时经常需要确认前端发的参数对不对后端返回的数据结构是否符合预期某个请求有没有被莫名其妙地重定向抓包能让你直接看到HTTP请求和响应的原始内容比看代码日志更直观验证客户端/服务端数据交互是否符合协议规范检查 API 请求/响应格式、状态码、头部信息分析 WebSocket、gRPC 等现代协议的实际行为3.性能分析通过抓包可以看到一个请求从发出到收到响应花了多少时间哪一步最耗时DNS解析、TCP握手、数据传输有没有大量重传说明网络不稳定测量接口响应时间、吞吐量分析慢请求瓶颈DNS、TCP 握手、SSL 协商、数据传输优化网络架构和 CDN 策略4.网络安全分析检查有没有恶意软件在后台偷偷往外发数据分析可疑的通信行为比如往陌生IP发数据验证加密是否生效比如看到是HTTPS还是明文HTTP检测明文传输的敏感信息密码、Token发现异常流量模式、恶意软件通信分析攻击 payload如 SQL 注入、DDoS 特征排查工具主流工具表格工具特点适用场景Wireshark功能最全面图形界面强大深度协议分析、复杂故障排查tcpdump命令行、轻量、服务器必备服务器端抓包、脚本自动化Fiddler/CharlesHTTP/HTTPS 专用支持代理Web 开发调试、移动端抓包Burp Suite安全测试导向可篡改请求渗透测试、安全研究工具使用介绍这里介绍两种常用的工具Wireshark和tcpdump掌握这两个能分析出大部分工作中遇到的网络问题WiresharkWireshark 是目前功能最强大、最流行的图形化抓包分析工具。它能实时捕获网络数据包并提供极其丰富的协议解析、过滤、统计分析功能特点跨平台支持 Windows、macOS、Linux协议解析全面支持上千种网络协议TCP/IP、HTTP、DNS、TLS 等能自动解码并展示每个字段含义强大的过滤器捕获过滤器抓包时限定只抓某些包减少干扰显示过滤器抓完后再筛选出关心的包语法灵活图形化界面可点击、右键交互快速定位问题流量统计协议层次统计、对话统计、端点统计、IO 图表等支持离线分析可以打开 tcpdump 等工具保存的.pcap文件彩色显示包绿 正常红 异常什么时候用想看流量内容想分析延迟、丢包、重传想看清 HTTP/HTTPS 握手想判断网络异常tcpdumptcpdump 是Linux/Unix 系统上最经典的命令行抓包工具。它没有图形界面但极其高效、资源占用小非常适合在远程服务器上抓包或者通过脚本自动化抓取。特点轻量级不需要X11纯命令行几乎任何Linux发行版都自带或可安装过滤能力强使用与Wireshark类似的捕获过滤器语法基于libpcap输出灵活可以打印包摘要也可以保存为.pcap文件供 Wireshark 分析资源占用低适合在生产环境临时抓包排查问题什么时候用服务器连不上网端口不通服务异常想看看谁在访问你的机器没有图形界面只能 SSH进阶组合两者组合使用效率更高工作中用的最多学习也可以流程排障思路及分析排查口诀先软后硬先内后外先近后远先静后动先软件配置 → 再硬件问题先内网通不通 → 再看外网先本机 → 网关 → 运营商 → 目标服务器先看静态配置IP、掩码、网关、DNS→ 再看动态流量标准排障步骤按顺序来99% 问题能定位1.看本机 是否正常看 4 样东西IP 地址是否正确子网掩码是否正确网关是否存在DNS 是否能解析ping 127.0.0.1 本机IPip a查看网卡ipconfig查网关 ip 子网等信息ping 127 都不通 → 系统网卡驱动坏了2. 内网是否通关键ping 网关结果判断能 ping 通网关内网正常ping 不通网关网线 / WiFi 问题交换机 / 路由器问题IP 网段不对防火墙拦截内网不通 → 外网一定不通先修好内网再谈别的。3.外网是否正常ping 8.8.8.8/114.114.114.114外网IP通外网链路正常不通网关没上网运营商断网光猫故障防火墙策略拦截4.DNS是否正常能 ping IP但打不开网页 →100% DNS 问题ping www.baidu.com解析不出 IP → DNS 错了换 114.114.114.114 或 8.8.8.85.端口是否开放网页打不开、SSH 连不上、接口调不通大多是端口被拦telent IP 端口nc -zv IP 端口tcpdump 端口不通 防火墙 / 安全组 / 服务没起来6.是否丢包、延迟高延迟高、卡顿、断断续续用ping -t IP mtr IP看两点延迟是否稳定是否丢包丢包位置本机 → 网关 → 运营商 → 服务器哪一跳开始丢就是哪里坏。7. 抓包确认终极手段前面都查不出来 →抓包LinuxtcpdumpWindowsWireshark看三样有没有发出去有没有回包有没有 RST、重传、丢包抓包能定位 100% 网络问题在给大家分享一下工作中经常遇到的问题常见八类故障快速判断1. 完全上不了网90% 是没网关IP 不在同一网段网线松了WiFi 没连上光猫掉线2. 能上 QQ 不能开网页DNS 炸了3. 时而能上时而不能信号弱WiFi网线接触不良路由器过热 / 死机运营商丢包4. 别人能上就你不能你的 IP 冲突你的防火墙拦截你的网卡问题你被路由器拉黑5. 能 ping 通但端口不通服务器防火墙安全组没放行服务没启动中间防火墙策略拦截6. 延迟很高WiFi 干扰带宽被占满跨网访问电信访问联通路由器性能差7. 丢包严重光衰过大光纤线路老化路由器故障上行带宽被占满8. 局域网能通外网不通网关没拨号运营商欠费 / 故障上级防火墙拦截出口优化方案一、延迟高、卡顿、慢1最有效、最快的办法重启路由器 / 光猫断电 30 秒再插上90% 的临时卡顿直接好。切 5G WiFi2.4G 干扰大、延迟高5G WiFi 明显更稳。靠近路由器穿墙、距离远延迟飙升。2查谁在占带宽进路由器后台看有没有人在下载、看 4K、网盘上传上传跑满会让整个网都卡到爆炸3系统层面Windowscmdnetsh winsock reset重启电脑修复网络协议异常。二、丢包ping 丢包、游戏跳红、网页转圈1先判断丢包在哪ping 网关丢包 →内网问题WiFi / 网线 / 路由器ping 网关不丢ping 外网丢 →运营商 / 外网问题2内网丢包怎么解决换网线 / 换网口关闭其他设备减少干扰路由器恢复出厂直接电脑插光猫测试排除路由器问题3外网丢包看光猫光信号LOS 红灯亮光纤故障直接报修打运营商电话“我这频繁丢包、延迟高直连光猫也一样”他们会上门修。三、能 ping 通 IP但打不开网页100% 是 DNS 问题手动改 DNS114.114.114.1148.8.8.8立刻恢复。四、能上内网不能上外网网关没配置路由器没拨号宽带欠费防火墙禁止出口五、别人能上就你不能你的 IP 冲突被路由器拉黑 / 限速本机防火墙拦截网卡驱动问题六、端口不通22/80/443 连不上服务有没有启动本机防火墙放行端口服务器防火墙 / 安全组放行中间网络有没有策略拦截七、终极万能方案实在查不出来就这么干重启电脑重启路由器 / 光猫切换网络手机热点试一下抓包tcpdump/Wireshark看有没有发出去、有没有回包、有没有 RST