公司开会视频频繁掉线,家里打游戏突然延迟飙升,网页加载半天出不来——这些网络问题背后,往往藏着你看不见的流量异常。光重启路由器解决不了根本问题,得学会看懂网络流量数据,才能精准定位毛病出在哪。
从基础工具开始:抓包不是高手专属
很多人一听“分析流量”就觉得要上Wireshark这种专业软件,其实日常排错,命令行工具就够用。比如用 tcpdump 在服务器或Linux设备上抓一段流量:
tcpdump -i eth0 -w capture.pcap host 192.168.1.100这条命令的意思是:在eth0网卡上,只记录和IP为192.168.1.100通信的数据,并保存成文件。回家后拿Wireshark打开这个pcap文件,就能一帧帧查看数据流向。
重点关注重传和延迟
在网络拥堵或信号差的时候,数据包发不出去就得重发。Wireshark里看到大量[TCP Retransmission]标记,基本就能断定链路有问题。比如你在家连WiFi打视频电话,对方总说你声音断断续续,抓包一看,每分钟几十次重传,那不一定是运营商问题,可能是隔壁微波炉干扰了2.4GHz频段。
另一个关键指标是RTT(往返时间)。用 ping 虽然简单,但只能看ICMP延迟。真正影响应用体验的是TCP层的实际响应时间。在Wireshark里选中一个TCP流,右键“Follow > TCP Stream”,底部会显示每个包的时间戳,自己算一下SYN到SYN-ACK用了多久,就能判断连接建立是否缓慢。
过滤出可疑流量
一台电脑突然变慢,可能是后台程序在偷偷传数据。用Wireshark加个显示过滤器:
ip.src == 192.168.1.105 && tcp.port != 53 && tcp.port != 80意思是:只看来自这台设备、且不是DNS或HTTP常规流量的数据。如果发现它连着某个陌生IP,还持续上传几百KB,那八成是中了挖矿木马或者被远控了。
结合时间线定位突发高峰
办公室每天下午三点网络卡死,其他时段正常?这时候别急着升级带宽。先用iftop命令实时监控各主机流量排行:
iftop -i eth0 -n运行时发现那个时间点某台测试机突然占满上行带宽,一查原来是自动备份脚本没设限。把定时任务改到夜间,问题立马解决。
小技巧:用颜色标记快速识别
Wireshark支持自定义着色规则。比如把所有UDP流量标成黄色,ARP请求标成灰色。这样一眼扫过去,哪个协议占主导、有没有异常广播风暴,马上心里有数。设置路径在“View > Coloring Rules”里,新手也能几分钟搞定。
网络排错不是玄学,关键是把看不见的数据变成可读的信息。掌握这些流量分析技巧,下次遇到问题不用靠猜,直接看包说话。