第 23 篇：如何抓到“正确”的包

抓包实战系列第 3 篇。上一篇我们讲了 Wireshark：如何把抓到的 pcap 文件按协议层层拆开分析。今天讲一个更基础也更容易被忽略的问题：怎么抓到真正有用的包。很多排障失败，不是不会看包，而是一开始就没抓对包。开场：抓包不难，抓对才难抓包这件事，看起来很简单。输入一条命令：tcpdump-ieth0-nn屏幕开始刷。你会有一种很踏实的错觉：我已经在排查网络问题了。但现实经常更残酷。你抓了半小时。文件 2GB。打开 Wireshark。包很多。线索没有。最后发现：抓错了网卡抓晚了时间过滤条件写反了客户端流量走了另一路容器流量没经过你抓的接口HTTPS 内容加密，抓到了也看不到明文真正的问题发生在 DNS 阶段，你一直盯 TCP这时候你会明白：