《企业运维之云上网络原理与实践》——第一章 云网络总览与概述——云网络总览与概述(下)(2) https://developer.aliyun.com/article/1230724?groupCode=supportservice
2. 抓包工具:wireshark
wireshark是基于命令行的图形化数据包抓包、查看、分析软件。
1) wireshark包含的工具(均在wireshark安装目录下)
• tshark:分析抓包文件的命令行工具,wireshark图形化界面可替代;
• mergecap:可以将若子干个包合并成一个包;
• editcap:可以将一个包拆封成若干个子包;
• dumpcap:抓包的命令行工具,wireshark图形化界面可替代;
• capinfo:可以快速进行摘要分析,例如开始结束时间点以及所抓取的数量。
注:
使用命令行工具,可避免因使用图形化界面过度耗费资源。
2) 建议掌握的功能
• 统计会话信息:Statistics->Conversation
• 个性化Packet List,添加必要的列名(右击Packet Details->Apply as Column)
• 捕获过滤器:与tcpdump类似,可以从man pcap-filter命令中查看详情
• 显示过滤器:tcp.port/ip.addr/icmp/dns/http...
wireshark操作示例:
• 抓包过滤器:以抓https流为例,因为https跑在tcp协议上,在wireshark首页界面可输入tcp,选择相应流量网卡;
• 显示过滤器:wireshark开始抓包,但wireshark只提供了http的协议的流量,如果要查询https,可以在抓到的包页面输入tls或tcp.port==443;
• 五元组:将所抓包分解成不同的tcp会话,当我们要查询某一条流量时,右键选择“对话过滤器”-“TCP”,则过滤器会自动显示一条包含5个信息的内容(又称“五元组”),包括源IP、源端口、目标IP、目标端口、协议;
• 定制界面参数:可以将关注的参数通过右键“应用为列”,即可在列表页显示;
注:
建议只抓自己感兴趣的流,因为全部都抓容易漏包,另外抓下来的包会特别大。
3) 进阶功能
• TCP图形分析:Statistics->TCP Stream Graphs
• 包染色:右击Packet List->Colorize Conversation
• 过滤器按钮:Preferences->Filter Buttons
3. 一般排查案例步骤
如果无法访问某个目标网址,如何进行排查?
• ping一下该目标网址;
• 如果ping不通,可以使用mtr查看是哪一跳出了问题;如第一跳是路由器网关,第二跳是运营商网关等等,在不同的设备上延迟和丢包是否正常,来判断哪一步出了问题;
• 如果可以ping通,但无法访问某个网址,通过轻量的排查方法都无法找到原因,则可以使用wireshark,通常抓包是比较重且耗时的排查方法。
4. 更多排查工具资料
• 《云网络二三事:GNU类工具》
文章地址:https://developer.aliyun.com/article/876645?groupCode=supportservice
• 《云网络二三事:老朋友,Wireshark家族》
文章地址:https://developeraliyun.com/article/876646?groupCode=supportservice
