当前位置：首页 > 文章列表 > 文章 > linux > Linux网络排查：抓包与诊断工具全解析

Linux网络排查：抓包与诊断工具全解析

2025-07-16 17:34:26 0浏览收藏

还在为Linux网络故障头疼？别慌！本文为你奉上一份详尽的Linux网络故障排查指南，助你快速定位并解决问题。文章将从最基础的网络连通性检查入手，逐步深入到系统日志、服务状态，并着重讲解如何利用强大的抓包和诊断工具，例如`tcpdump`和`Wireshark`，去“看”网络里到底发生了什么。你将学会如何使用`ip`、`ping`、`ss`等常用命令快速判断网络层级问题，以及如何通过`tcpdump`抓包并用`Wireshark`进行图形化深度解析，从而诊断诸如DNS解析、防火墙规则、端口开放等常见故障。掌握这些技巧，你也能像网络侦探一样，抽丝剥茧，最终锁定网络问题的症结所在！

Linux网络故障排查的起点是检查物理层与链路层连通性，逐步深入IP配置、路由、DNS、防火墙、服务状态及抓包分析。1.首先确认网线连接正常，使用ip link show或ifconfig -a查看网卡状态是否UP，DOWN则用命令激活；2.通过ip a show确认IP地址配置正确，ip r show检查默认路由是否存在；3.用ping测试本机、网关、外网IP和域名解析，判断问题层级；4.cat /etc/resolv.conf或resolvectl status确认DNS配置，dig或nslookup测试域名解析；5.检查iptables、UFW或firewalld规则，确认端口开放；6.用ss -tuln或netstat -tuln查看监听端口，lsof -i定位占用进程；7.利用tcpdump在对应接口抓包分析数据流向，保存为pcap文件后导入Wireshark进行图形化深度解析；8.查看journalctl -xe或tail -f /var/log/syslog获取系统和服务日志线索，辅助问题定位。

Linux网络故障该如何排查？_Linux抓包与诊断工具详解

Linux网络故障排查，其实就是一场侦探游戏，核心在于系统性地缩小问题范围，并最终锁定症结所在。这通常需要从最基础的网络连通性检查开始，逐步深入到系统日志、服务状态，最终动用强大的抓包和诊断工具，去“看”网络里到底发生了什么。很多时候，问题并不复杂，只是我们没有找到正确的“视角”去观察它。

解决方案

排查Linux网络故障，我习惯从以下几个层次入手，像剥洋葱一样层层深入：

物理层与链路层初步判断：
- 检查网线是否插好，指示灯是否正常闪烁。
- 使用 ip link show 或 ifconfig -a (如果还在用) 确认网卡是否识别，状态是否是UP。如果显示DOWN，尝试 sudo ip link set up 激活。
- 检查 dmesg 输出，看是否有网卡驱动相关的错误信息。
IP地址与路由配置：
- ip a show：确认网卡是否正确获取到IP地址（手动配置或DHCP）。检查子网掩码是否正确。
- ip r show：查看路由表，特别是默认网关是否指向正确。如果缺少默认路由，外部网络将无法访问。
- ping ：测试能否ping通网关。
- ping 8.8.8.8 或 ping 114.114.114.114：测试能否ping通外网IP，排除DNS问题。
- traceroute 或 mtr ：追踪数据包路径，看是在哪一跳中断。
DNS解析问题：
- cat /etc/resolv.conf：检查DNS服务器配置是否正确。
- resolvectl status (systemd-resolved 用户) 或 systemd-resolve --status：查看DNS解析器状态。
- dig 或 nslookup ：测试域名解析是否正常。如果能ping通IP但不能ping通域名，基本就是DNS问题。
防火墙与安全组：
- sudo iptables -nvL：检查iptables规则，看是否有规则阻止了流量。
- sudo ufw status：如果使用UFW，检查其状态和规则。
- sudo firewall-cmd --list-all (如果使用firewalld)：检查firewalld规则。
- 很多时候，我们忘记开放端口或允许特定IP访问，导致服务不可达。
服务与端口状态：
- ss -tuln 或 netstat -tuln：查看哪些端口正在监听，哪些连接已建立。确认服务是否在正确的端口上监听。
- sudo lsof -i :：查看哪个进程占用了特定端口。
- systemctl status ：检查相关网络服务的运行状态，比如 nginx、apache2、sshd 等。
抓包分析：
- tcpdump -i host and port -vvv -X：在命令行实时抓取数据包，观察流量走向和内容。这是最直接的“看”网络数据的方式。
- 将 tcpdump 抓取的数据保存为pcap文件 (-w )，然后导入Wireshark进行图形化分析。Wireshark提供了强大的协议解析和过滤功能，能帮助我们深入理解数据包的每一个细节。
系统日志：
- journalctl -xe：查看系统日志，特别是与网络、服务相关的错误或警告信息。很多时候，服务启动失败或配置错误会在日志中留下线索。
- tail -f /var/log/syslog 或 /var/log/messages：实时监控日志，观察在重现问题时是否有新的错误出现。

Linux网络故障排查的起点在哪里？

当我们面对一个“网络不通”的模糊报告时，首先要做的不是急着去用复杂的工具，而是要明确问题的“边界”和“症状”。这个起点，我个人觉得，是明确故障的范围和初步的连通性测试。

打个比方，你家停电了，你会先看是不是总闸跳了，而不是直接拆开插座检查。网络故障也是如此。

是整个服务器都无法联网，还是只有某个服务端口不通？ 比如，SSH能连上，但网站打不开，这说明网络层是通的，问题可能在Web服务本身或其端口。
是所有外部IP都无法访问，还是只有特定IP或域名无法解析？ 如果能ping通IP但不能ping通域名，那八成是DNS的问题。
是内网互通，但外网不通？ 这通常指向默认网关或外部路由问题。

一旦有了初步判断，就可以进行最简单的连通性测试：

ping 命令：
- ping 127.0.0.1：测试本机网络栈是否正常。如果这个都不通，那问题非常底层。
- ping <本机同网段另一台机器的IP>：测试局域网内连通性。
- ping <默认网关IP>：测试能否到达网关。如果网关不通，那基本可以确定问题在本地网卡、线缆或网关设备本身。
- ping 8.8.8.8 (Google DNS) 或 ping baidu.com：测试能否访问外部网络。如果能ping通IP但ping不通域名，那DNS配置就成了重点怀疑对象。
ip a show 和 ip r show：
- 这两个命令是你的“网络身份证”和“地图”。ip a show 告诉你你的网卡叫什么，有没有IP地址，地址对不对。ip r show 告诉你你的数据包要往哪里走，有没有去往目的地的路。很多时候，IP地址配置错误、子网掩码不对或者缺少默认路由，就能直接导致“网络不通”。

这些基础检查，看似简单，却能迅速排除大量低级错误，为后续的深入排查指明方向。

如何利用Linux命令行工具快速定位网络问题？

Linux命令行工具的强大之处在于它们的组合性和灵活性，能够以非常精细的方式检查网络状态。除了上面提到的 ping、ip，还有一些工具是网络排查的利器。

ss (Socket Statistics) / netstat：
- ss -tuln：这是我最常用的命令之一。t 表示TCP，u 表示UDP，l 表示监听状态，n 表示不解析服务名和主机名（更快）。它能清晰地列出所有正在监听的端口以及对应的进程。如果你的服务声称已经启动，但这里看不到对应的监听端口，那么服务可能根本没起来，或者监听的地址/端口不对。
- ss -s：查看套接字统计信息，能大致了解当前系统的网络连接负载。
- netstat 虽然老旧，但在很多系统上依然可用，netstat -tulnp 也能达到类似效果，p 参数可以显示进程ID和程序名。
lsof -i (List Open Files - Internet sockets)：
- 当你发现某个端口被占用，但 ss 或 netstat 没告诉你具体是哪个进程时，lsof -i : 就能派上用场。它会列出所有打开了指定端口的进程，包括PID，这对于解决端口冲突问题非常有效。
- lsof -i tcp 或 lsof -i udp 也能列出所有TCP或UDP连接。
curl / wget：
- 这两个工具不仅仅是下载器，更是应用层连通性测试的利器。
- curl -v ：它会显示HTTP请求的详细过程，包括DNS解析、TCP连接、SSL握手、HTTP请求头和响应头。如果 ping 能通，但 curl 连不上网站，那么问题可能出在HTTP/HTTPS代理、防火墙、Web服务器配置或应用层服务本身。-v 参数非常关键，能提供大量调试信息。
- wget ：类似 curl，可以测试HTTP/HTTPS连通性。
nmap (Network Mapper)：
- 虽然主要用于网络发现和安全审计，但 nmap 也可以用来快速扫描目标主机的开放端口。
- nmap -p 22,80,443 ：扫描目标IP的22、80、443端口是否开放。这能帮助你判断目标机器的防火墙是否允许你的连接，或者服务是否确实在监听这些端口。

这些工具的组合使用，能让你像X光一样“透视”网络连接的各个层面，从链路到应用，迅速锁定问题所在。

Linux抓包工具tcpdump与Wireshark实战指南

当所有基础工具都无法明确指出问题，或者你需要深入了解数据包在网络中是如何流动的、内容是什么时，抓包工具就成了不可或缺的“显微镜”。tcpdump 和 Wireshark 是这个领域的两大巨头。

tcpdump：命令行下的瑞士军刀

tcpdump 是一个强大的命令行抓包工具，尤其适合在服务器上进行实时监控和快速诊断。

基本用法： sudo tcpdump -i
- 是你要监听的网卡接口，比如 eth0、ens33、lo (本地回环)。
常用选项和过滤：
- -n：不将IP地址转换为主机名，不将端口号转换为服务名，提高抓包速度和可读性。
- -nn：更彻底，不解析主机名和服务名。
- -v / -vv / -vvv：增加详细程度，显示更多协议信息。
- -X：显示十六进制和ASCII码的数据包内容，可以看到应用层数据。
- -s 0：捕获完整数据包，不截断（默认会截断）。
- -w ：将抓取到的数据包保存到文件，方便后续用 Wireshark 分析。
- 过滤表达式： 这是 tcpdump 的精髓。
  - host ：只抓取与指定IP地址相关的数据包。
  - port ：只抓取指定端口的数据包。
  - src host / dst host ：源IP或目的IP。
  - src port / dst port ：源端口或目的端口。
  - tcp / udp / icmp：只抓取特定协议的数据包。
  - and / or / not：组合过滤条件。
  - 示例： sudo tcpdump -nn -i eth0 host 192.168.1.100 and port 80 or port 443 -w web_traffic.pcap
    - 这会抓取 eth0 接口上，与 192.168.1.100 之间，发生在80或443端口的TCP/UDP数据包，并保存到 web_traffic.pcap 文件。

Wireshark：图形化数据包分析大师

Wireshark 是一个图形界面的网络协议分析器，它能够读取 tcpdump 生成的pcap文件，并提供极其强大的协议解析、过滤和可视化功能。

导入pcap文件： 打开 Wireshark，选择 File -> Open，导入你用 tcpdump 保存的pcap文件。
过滤： Wireshark 的过滤功能比 tcpdump 强大得多，支持各种协议字段的过滤。
- ip.addr == 192.168.1.100：显示与该IP地址相关的所有数据包。
- tcp.port == 80：显示所有TCP 80端口的数据包。
- http：显示所有HTTP协议的数据包。
- http.request.method == "POST"：过滤HTTP POST请求。
- tcp.flags.syn == 1 and tcp.flags.ack == 0：显示所有SYN包（TCP三次握手的第一步）。
- 你可以通过组合这些过滤条件，快速定位你感兴趣的数据包。
协议解析： Wireshark 能自动解析上百种网络协议，并以树状结构展示每个数据包的详细内容，从物理层到应用层，一览无余。
流追踪： 右键点击一个TCP数据包，选择 Follow -> TCP Stream，可以查看一个完整的TCP会话的来回数据流，这对于调试HTTP、SSH等应用层协议非常有用。

实战场景：

假设你的Web服务器无法访问。

首先 ping 确认服务器是否在线。
ss -tuln 确认Nginx/Apache是否在监听80/443端口。
如果都正常，但在客户端仍然无法访问，那么可能是防火墙或中间网络设备的问题。
此时，在服务器上执行 sudo tcpdump -nn -i eth0 port 80 or port 443 -w web_debug.pcap。
在客户端尝试访问Web服务。
停止 tcpdump，将 web_debug.pcap 文件下载到本地，用 Wireshark 打开。
在 Wireshark 中过滤 tcp.port == 80 or tcp.port == 443。
- 如果看到客户端发出了SYN包，但服务器没有回应SYN-ACK，那么问题可能在服务器的防火墙、服务未启动或网络配置。
- 如果看到了完整的TCP三次握手，但没有HTTP请求或响应，那么可能是应用层协议问题。
- 如果看到了HTTP请求，但服务器返回了错误代码（如404、500），那么问题在于Web服务器配置或应用本身。