网络排查案例课
杨胜辉
eBay 资深运维专家,流量系统负责人
22781 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 39 讲
开篇词 (1讲)
开篇词 | 网络排查是工程师的必备能力
时长 17:41
预习篇 (2讲)
01 | 网络模型和工具:网络为什么要分层?
时长 27:14
02 | 抓包分析技术初探:你会用tcpdump和Wireshark吗?
时长 27:52
实战一:TCP真实案例揭秘篇 (14讲)
03 | 握手:TCP连接都是用TCP协议沟通的吗?
时长 23:47
04 | 挥手:Nginx日志报connection reset by peer是怎么回事?
时长 25:57
05 | 定位防火墙(一):传输层的对比分析
时长 23:54
答疑(一)| 第1~5讲思考题答案
时长 13:32
06 | 定位防火墙(二):网络层的精确打击
时长 26:43
07 | 保活机制:心跳包异常导致应用重启?
时长 26:51
08 | 分段:MTU引发的血案
时长 25:35
09 | 长肥管道:为何文件传输速度这么慢?
时长 27:01
10 | 窗口:TCP Window Full会影响传输效率吗?
时长 26:44
答疑(二)| 第6~10讲思考题答案
时长 14:31
11 | 拥塞:TCP是如何探测到拥塞的?
时长 24:29
12 | 重传的认识:重传到底是怎么回事?
时长 24:03
13 | 重传的再认识:没有任何丢包却也一直重传?
时长 20:49
14 | 安全:用Wireshark把DDoS攻击照出原形
时长 24:47
春节特别放送 (4讲)
春节特别放送(一)| 书单推荐
时长 07:49
春节特别放送(二)| 聊聊能力陷阱和终身学习
时长 08:50
春节特别放送(三)| 我的学习资料和工具
时长 10:49
春节特别放送(四)| 测一测你的网络排查能力
时长 00:30
实战二:应用层真实案例揭秘篇 (10讲)
15 | Nginx的499状态码是怎么回事?
时长 21:49
答疑(三)| 第11~15讲思考题答案
时长 10:03
16 | 服务器为什么回复HTTP 400?
时长 22:32
17 | 为什么前端页面里多选一个城市就报错?
时长 22:06
18 | 偶发性问题如何排查?
时长 23:26
19 | TLS的各种特性:TLS握手为什么会失败?
时长 25:26
20 | TLS加解密:如何解密HTTPS流量?
时长 24:52
答疑(四)| 第16~20讲思考题答案
时长 11:51
21 | 为什么用了负载均衡更加不均衡?
时长 20:31
22 | 为什么压力测试TPS总是上不去?
时长 21:21
实战三:不用抓包就能做的网络排查篇 (2讲)
23 | 路径排查:没有网络设备权限要如何做排查?
时长 15:45
24 | 丢包:如何确定丢包的存在及其程度?
时长 21:47
不定期加餐 (3讲)
不定期加餐(一) | 八仙过海,各显神通:透传真实源IP的各种方法
时长 14:51
用户故事 | 小S:学习是人生路上生生不息的活泉
时长 07:31
用户故事 | 王未:网络排查能力是一名合格运维工程师的必备技能
时长 08:34
总结篇 (3讲)
25 | 抓包分析的回顾、拾遗,和提高
时长 17:54
结束语 | 珍惜握手,难说再见
时长 10:48
结课测试 | “网络排查案例课”100分试卷等你来挑战!
时长 00:39
网络排查案例课
15
15
1.0x
00:00/00:00
登录|注册

25 | 抓包分析的回顾、拾遗,和提高

杨胜辉
抓包文件过滤 -r, -w
端口限定 port
IP限定 host, dst host, src host
报文长度 -s
禁止DNS查询 -n
详细信息 -v, -vv, -vvv
网络接口 -i
LB前后不同TCP连接的抓包文件
同一TCP流的不同端抓包文件
预估 -> 抓包 -> 问题重现 -> 停止抓包 -> 分析
调查整数值背后原因
对比两侧抓包文件
分析TCP流
关注可疑报文
查看Expert Information
客户端直接访问服务端
tcp.analysis类过滤器 tcp.analysis
时间匹配 frame.time
TCP标志位 tcp.flags
匹配二进制数据 contains
匹配字符串 contains
TCP Zero Window
TCP Window Full
时间信息
自定义列
Follow TCP Stream
Expert Information
合并TLS key文件
修改报文长度
获取抓包文件整体信息
直接抓包 -i, -w
统计TCP重传包数量
查看TCP初始往返时间
展示特定TCP流报文
解析HTTP事务耗时
统计HTTP状态码
过滤条件
基础参数
tshark命令过滤DupAck
TCP Zero Window持续状态
对比分析
偶发性问题
整数值
抓包分析思路
逐段测试法
过滤器
TCP提示解读
解读技巧
editcap
capinfos
tshark
tcpdump
思考题
排查技巧
Wireshark技巧
抓包工具技巧
抓包分析的回顾、拾遗,和提高

该思维导图由 AI 生成,仅供参考

你好,我是胜辉。
在完成了三个实战模块之后,我们已经把三层以上,也就是网络层、传输层、应用层等的排查技术都比较完整地学习了一遍。在二十多节课里,我们学习了对 TCP 的各种行为,比如握手、挥手、拥塞、重传等行为进行排查的技巧,也对 tcpdump 和 Wireshark 进行了深度使用。
除了这些技巧以外,我们更是在 TLS 加解密和应用层 HTTP 协议等理论知识方面,做了不少深入的研究。我想,很多工具的使用技巧、案例的排查思路已经在我们的脑海中回荡,那么如果我们来一次系统性的总结和提高,对我们的学习效果一定是一种更大的促进。
所以在这节课里,我们就来对过去的二十多讲进行一次回顾、总结和提高吧。

tcpdump 和 tshark 等命令行工具的技巧

tcpdump 是我们用得最多的抓包工具,其中的基本技巧可以汇总为以下几个方面。

tcpdump

我们做抓包,一般都需要指定过滤条件,这样才能保证对系统的 CPU、内存、硬盘等资源不产生过大的影响。这里说的过滤条件又分基础参数和真正的过滤条件,我们分别来看一下。

基础参数

这类基础参数可能不算是用来过滤报文本身的参数,它们一般用于指定抓包的网口、报文长度等等。我们来逐个看一下。
要限定网络接口,可以用 -i 参数。比如:
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

抓包分析工具的使用技巧和功能是网络技术人员必备的重要知识。本文深入介绍了tcpdump、tshark和Wireshark等命令行工具的技巧和功能。对于tcpdump,详细总结了基础参数、过滤条件的使用技巧,以及网络接口限定、详细信息展示、DNS查询影响避免等内容。针对tshark,展示了统计HTTP状态码、解析HTTP事务耗时、查看TCP初始往返时间等功能。此外,还提及了capinfos和editcap工具的使用。对于Wireshark,文章强调了其重要性,并提及了学习者可能的困惑和进步,同时简要回顾了相关技巧。此外,还介绍了Wireshark的解读技巧、TCP提示的解读、TCP传输状况信息、Wireshark过滤器以及排查技巧。文章还提到了对比分析的重要性,以及对偶发性问题的处理策略。总的来说,本文内容涵盖了抓包分析工具的使用技巧和功能,对于网络技术人员进行抓包分析有一定的指导意义。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《网络排查案例课》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 网络模型和工具:网络为什么要分层?
03 | 握手:TCP连接都是用TCP协议沟通的吗?
春节特别放送(二)| 聊聊能力陷阱和终身学习
11 | 拥塞:TCP是如何探测到拥塞的?
18 | 偶发性问题如何排查?
不定期加餐(一) | 八仙过海,各显神通:透传真实源IP的各种方法
登录 后留言

全部留言(6)

  • 最新
  • 精选
  • 追风筝的人
    老师最后总结的4张图 太赞了 这就是个工具箱 里面很多工具和方法

    作者回复: 谢谢一路的支持:)

    2022-04-06
    6
  • 那时刻
    老师的思维导图不错,果断收藏之。 好奇一个问题,wireshark里的Time Sequence (Stevens) 这里stevens指的是 Richard Stevens么?

    作者回复: 是他,TCP/IP三卷以及UNIX网络编程两卷的作者,真正的大师~

    2022-04-01
    3
    1
  • 那时刻
    第一个思考题,我查了下文档 rfc6429。zero window probing needs to be supported to prevent a connection from hanging forever if ACK segments that re-open the window are lost. 通信另外一段需要zero window probing,来保持连接状态,避免链接hang,另外发送 TCP Zero Window 的端可以处理Ack报文的。

    作者回复: 对的,TCP里设计了zero window probe timer,可以避免我说的问题~

    2022-04-01
  • piboye
    我要打印出来, 慢慢看😊
    2022-08-07归属地:广东
    1
    1
  • Geek_93970d
    tshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -Y tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"
    2023-04-06归属地:北京
  • Geek_93970d
    tshark -r lesson22-ab-testing.pcap -T fields -e tcp.stream -e tcp.analysis.duplicate_ack | grep -v ^$ | awk '{print $1}' | sort -k1 -n| uniq | xargs -t -I{} tshark -r lesson22-ab-testing.pcap -Y "tcp.stream eq {}"
    2023-04-06归属地:北京
收起评论
显示
设置
留言
6
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部