Linux网络监控：tcpdump实用技巧与故障排查实例

本文档介绍了Linux网络监控工具tcpdump的基本使用方法和几个实用场景，包括网络故障排查和性能分析。tcpdump是一个强大的网络数据包捕获工具，用于监视网络上的数据包并分析它们的源地址、目标地址、端口号和协议等信息。 1. **tcpdump命令基础**: - `-D`选项用于列出tcpdump可以监听的网络接口，以便选择合适的接口进行监控。 - `-i any`和`-n`组合用于以IP地址而非域名显示数据包信息，这对于查看精确的网络活动非常有用。 - `-c`指定捕获数据包的总数，`-w`将捕获的包写入文件，`-l`用于重定向输出，`-nn`避免主机名解析。 2. **故障排查示例**: - **arp故障**：通过tcpdump检测到主机B-CLIENT频繁发送ARP广播，发现A-SERVER ARP表缺少P标志，手动添加后解决了网络不通的问题。 - **netflow软件问题**：通过监听路由器的UDP端口9998发现数据包已发送，但工作站上的防火墙阻止了流量，调整防火墙设置后恢复了netflow功能。 - **邮件服务器排障**：分析邮件服务器和客户端之间的三次握手，发现server试图连接113端口进行认证，但未收到回应，通过修改qmail配置解决了延时问题。 3. **高级用法示例**: - 使用`host`选项筛选特定IP或IP范围，如`tcpdump host 210.27.48.1`截取该IP的所有通信。 - 结合逻辑运算符过滤特定主机间的通信，如`tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3)`。 - 使用`not`关键字排除特定条件，如`tcpdump ip host 210.27.48.1 and ! 210.27.48.2`抓取除指定主机外的包。 4. **性能监控**: - `strace`和`ltrace`用于调试程序，`strace -f -o vim.strace vim`追踪vim及其子进程，`ltrace -p 234`跟踪运行中的进程。 - `sar`命令用于系统活动报告，`-u`关注磁盘I/O等待时间，`-r`或`-B`监测内存使用和交换情况，`iostat`监控设备使用情况，如每秒传输次数（tps）。 tcpdump是一个强大的网络分析工具，能帮助IT专业人士诊断网络问题、优化性能和保护网络安全。通过结合其他辅助工具如strace和sar，可以全面了解系统的运行状况。