刚入行做网络运维的时候,我连抓个包都不知道从哪下手。那时候公司内网老是断,领导急得不行,让我查原因。没办法,只能硬着头皮打开Wireshark,点来点去像个无头苍蝇。后来才明白,学网络数据包分析工具,真不是点几下就会的事。
先搞清楚你为啥要学
别一上来就冲着Wireshark、tcpdump这些名字猛搜。先问问自己:你是想排查家里的网络卡顿?还是工作要分析服务接口不通?或者是对网络安全感兴趣?目的不一样,学习路径差挺多。比如我就因为天天跟API打交道,后来发现请求失败很多时候是TLS握手出问题,这才开始深挖数据包里的细节。
从抓包开始练手感
装好Wireshark之后,别急着分析大型网络流量。先拿自己手机连Wi-Fi的瞬间试试。打开App刷新一下,看看发了哪些请求。你会发现DNS查询、HTTP连接、TLS握手一个个冒出来。这时候用过滤器输入http,画面立马清爽不少。慢慢你会认出SYN、ACK这些标志位代表啥意思。
命令行也得会点
在公司服务器上不可能装图形界面,这时候tcpdump就得上场了。比如你想看80端口的流量,命令很简单:
tcpdump -i any port 80 -c 10这条命令的意思是在任意接口监听80端口,抓10个包就停。抓完可以用 -w 参数存成pcap文件,回头用Wireshark打开细看。这种配合用多了,效率就上来了。
看懂常见协议结构
HTTP头长什么样?TCP三次握手每个包带了啥标志?DNS查询返回的是什么格式?这些都得心里有数。比如有一次我发现某个音频流媒体服务加载特别慢,抓包一看,DNS解析耗了两秒,最后定位到是本地DNS缓存没生效。要是不懂这些协议结构,光看时间线也看不出门道。
动手解决真实问题
最好的练习就是解决实际问题。比如家里智能音箱突然连不上网,你可以抓它启动时的流量,看看是DHCP拿不到地址,还是连不上云服务。再比如公司系统更新后接口报错,抓前后两次包对比Payload差异,往往一眼就能发现问题所在。
别怕看不懂的字段
刚开始看到一堆十六进制数据和陌生字段名容易懵。我的办法是右键点击任何字段,选“Explain”或者“Protocol Reference”,Wireshark会告诉你这字段干啥的。多看几次,自然就记住了。遇到TLS加密的流量也不用慌,虽然看不到内容,但握手过程照样能分析。