运维人必看!用Wireshark排查网络故障的3个真实案例(含tcpdump对比)
Wireshark实战:运维工程师的网络排障艺术
网络世界如同错综复杂的城市交通系统,而Wireshark就是我们手中的高清监控摄像头。作为运维工程师,掌握Wireshark的深度使用技巧,就如同拥有了透视网络流量的X光机。本文将带您走进三个真实的网络故障排查现场,体验从抓包到分析的完整过程,同时对比tcpdump在命令行环境下的应用场景。
1. 局域网异常流量风暴排查
那是一个周五的下午,公司内部IM系统突然变得异常卡顿,ping值从平时的2ms飙升到800ms以上。作为值班运维,我立即登录核心交换机查看端口流量,发现连接办公区的千兆端口竟然达到了980Mbps的持续流量。
第一步:快速定位异常源
tcpdump -i eth0 -n -c 1000 | awk '{print $3}' | sort | uniq -c | sort -nr这个简单的tcpdump组合命令帮助我快速发现192.168.5.23这个IP在短短10秒内发起了800多次连接请求。
Wireshark深度分析步骤:
- 在核心交换机镜像端口开启抓包
- 使用
ip.src == 192.168.5.23过滤该主机流量 - 统计 → 对话 → IPv4 查看通信矩阵
- 协议分级统计发现80%为ARP包
关键发现:
| 协议类型 | 占比 | 异常特征 |
|---|---|---|
| ARP | 82% | 每秒50个请求 |
| TCP | 15% | 大量RST包 |
| ICMP | 3% | 目标不可达 |
在Wireshark的"专家信息"面板中,连续出现的"Duplicate ARP request"确认了ARP风暴的存在。进一步追踪发现是这台主机上的某款"优化软件"错误配置导致。
提示:在局域网排障时,先使用tcpdump快速定位问题方向,再用Wireshark进行精细分析,这是最高效的工作流程。
2. 路由器NAT异常导致的外网访问故障
某分支机构报告外网访问时断时续,特别是HTTPS网站经常无法打开。常规检查显示线路正常,基础ping测试也没有丢包。
tcpdump快速验证:
tcpdump -i wan0 'tcp port 443 and (tcp[tcpflags] & tcp-syn != 0)' -nn发现SYN包发出后5秒内没有SYN-ACK回应,但同样的测试在内网接口却能立即收到响应。
Wireshark深度分析过程:
- 同时在LAN和WAN接口抓包对比
- 使用显示过滤器:
tcp.port == 443 && tcp.flags.syn == 1 - 时间列添加"Seconds Since Previous Packet"
关键发现表格:
| 接口 | SYN到SYN-ACK延迟 | TCP重传次数 | MSS值 |
|---|---|---|---|
| LAN | 0.002s | 0 | 1460 |
| WAN | 5.3s | 3 | 1380 |
通过对比分析,发现路由器NAT表项在高峰时期会提前老化,导致TCP连接中断。临时解决方案是调整NAT超时参数:
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=72003. 数据库服务间歇性响应缓慢
财务系统Oracle数据库每隔几小时就会出现10-15分钟的响应迟缓,常规监控未能发现问题根源。
组合工具使用策略:
- 首先用tcpdump缩小时间窗口:
tcpdump -i eth0 'port 1521' -w /tmp/oracle.pcap -G 300 -W 1- 在Wireshark中使用IO图表分析:
- Y轴:
tcp.analysis.ack_rtt - 添加过滤器:
ip.addr == 10.10.2.15
- Y轴:
关键操作步骤:
- 统计 → 流量图 → 限制显示过滤器
- 应用
tns过滤显示Oracle TNS协议 - 发现特定时间段出现TCP ZeroWindow告警
问题根源分析:
| 时间点 | 现象 | 可能原因 |
|---|---|---|
| 14:30 | ZeroWindow | 客户端缓冲区满 |
| 14:31 | TCP重传 | 网络拥塞 |
| 14:32 | TNS重协商 | 加密开销 |
最终定位是某报表服务的内存泄漏导致客户端处理能力下降,通过以下命令验证:
ps aux | grep java | awk '{print $6/1024 " MB"}' | sort -nWireshark与tcpdump的黄金组合
在实际运维工作中,两个工具各有所长:
适用场景对比表:
| 工具 | 最佳使用场景 | 优势 | 局限性 |
|---|---|---|---|
| tcpdump | 快速验证、长期抓包、资源受限环境 | 低开销、灵活过滤、易于自动化 | 分析能力有限 |
| Wireshark | 深度分析、协议解码、复杂问题排查 | 可视化强、支持700+协议、统计功能丰富 | 需要GUI环境 |
高效工作流建议:
- 先用tcpdump确认问题存在和时间点
- 保存关键时段的pcap文件
- 在Wireshark中深入分析
- 使用
tshark(Wireshark命令行版本)生成报告
高级技巧:自定义分析配置
专业运维人员都会打造自己的Wireshark工作环境:
必备配置修改:
- 编辑 → 首选项 → 外观 → 列
- 添加"Delta time"列
- 添加"TCP stream"列
- 分析 → 启用协议 → 取消不必要的协议
实用显示过滤器:
# 查找重传 tcp.analysis.retransmission # 检测HTTP延迟 http.time > 1 # 发现DNS问题 dns.flags.response == 1 && dns.time > 0.5自定义着色规则:
- 红色标记:
tcp.analysis.lost_segment - 黄色标记:
tcp.window_size < 1024 - 绿色标记:
http.response.code == 200
性能优化与安全注意事项
在处理高流量环境时,这些技巧可以避免工具本身成为问题:
资源优化配置:
# tcpdump缓冲优化 tcpdump -B 4096 -s 0 -w capture.pcap # Wireshark内存设置 编辑 → 首选项 → 捕获 → 使用多个缓冲文件安全操作规范:
- 敏感数据过滤:
tcpdump -w sanitized.pcap not port 22 and not host 10.10.1.100- 自动清理脚本:
find /var/capture/ -name "*.pcap" -mtime +7 -exec rm {} \;网络排障既是一门科学,也是一门艺术。Wireshark和tcpdump就像运维人员的听诊器和显微镜,熟练使用它们需要持续实践和经验积累。每次成功解决网络问题后,不妨将典型案例保存为技术笔记,这将成为您宝贵的经验库。