第 23 篇:如何抓到“正确”的包
抓包实战系列第 3 篇。
上一篇我们讲了 Wireshark:如何把抓到的 pcap 文件按协议层层拆开分析。今天讲一个更基础也更容易被忽略的问题:怎么抓到真正有用的包。很多排障失败,不是不会看包,而是一开始就没抓对包。
开场:抓包不难,抓对才难
抓包这件事,看起来很简单。
输入一条命令:
tcpdump-ieth0-nn屏幕开始刷。
你会有一种很踏实的错觉:
我已经在排查网络问题了。
但现实经常更残酷。
你抓了半小时。
文件 2GB。
打开 Wireshark。
包很多。
线索没有。
最后发现:
- 抓错了网卡
- 抓晚了时间
- 过滤条件写反了
- 客户端流量走了另一路
- 容器流量没经过你抓的接口
- HTTPS 内容加密,抓到了也看不到明文
- 真正的问题发生在 DNS 阶段,你一直盯 TCP
这时候你会明白: