网络流量分析与抓包工具

欢迎来到8455线路检测中心技术小课堂，每天分享一个技术小知识。网络故障排查、异常流量监控、通信协议分析等场景，离不开专业的流量抓包与分析工具。以下精选 4 款高频工具，覆盖命令行快速抓包、可视化分析、实时监控等需求，操作简单可直接落地，适用于运维、网络排查等场景。

一、抓包工具：tcpdump（命令行）

1. 功能

捕获网络接口数据包，支持按协议（TCP/UDP/ICMP）、端口、IP 地址过滤，输出详细报文信息，无图形界面依赖。

2. 高频实操命令

# 1. 捕获所有接口流量（后台运行，保存到文件）

tcpdump -i any -w traffic.pcap &  # -w 保存为pcap文件，后续用Wireshark分析

# 2. 过滤指定IP流量（捕获192.168.1.100的所有通信）

tcpdump host 192.168.1.100

# 3. 过滤指定端口（捕获80端口HTTP流量）

tcpdump port 80 and tcp

# 4. 过滤特定协议（捕获ICMPping包）

tcpdump icmp

# 5. 读取保存的pcap文件

tcpdump -r traffic.pcap

3. 优势与适用场景

• 优势：轻量无依赖，支持服务器命令行操作，过滤规则灵活；

• 适用场景：服务器远程抓包、无图形界面环境、批量自动化抓包。

二、可视化分析工具：Wireshark（图形界面）

1. 核心功能

图形化展示数据包，支持协议解析（HTTP/HTTPS/TCP）、流量统计、异常报文标记，可打开 tcpdump 保存的 pcap 文件。

2. 关键实操步骤

1. 选择捕获接口（如 eth0、无线网卡），点击 “开始” 捕获；

2.   输入过滤规则（例：ip.addr == 192.168.1.100 过滤目标 IP）；

3.   双击数据包，查看分层协议详情（以太网帧→IP 头→TCP 头→应用数据）；

4.   导出过滤后的数据包，用于后续分析。

3. 优势与适用场景

• 优势：可视化操作，协议解析全面，支持 HTTPS 解密（需配置证书）；

• 适用场景：复杂协议分析、故障定位（如丢包、延迟）、直观流量排查。

三、实时流量监控：iftop（带宽占用可视化）

1. 核心功能

实时监控网络接口带宽占用，按连接 IP 统计收发速率，直观展示 Top 流量连接。

2. 实操命令与操作

# 安装（CentOS/Ubuntu）

yum install -y iftop  # CentOS

apt install -y iftop  # Ubuntu

# 启动监控（默认监控第一块网卡）

iftop -i eth0  # -i 指定网卡

# 界面操作：按 s 切换显示发送速率，按 r 切换接收速率，按 q 退出

3. 优势与适用场景

• 优势：实时性强，无需抓包文件，直接查看带宽占用排行；

• 适用场景：异常带宽占用排查、流量峰值监控、连接数过多定位。

四、简易流量统计：nethogs（进程级流量监控）

1. 功能

按进程维度统计网络带宽占用，直接显示哪个进程（PID / 名称）占用最多流量，无需手动关联端口与进程。

2. 实操命令

# 安装

yum install -y nethogs  # CentOS

apt install -y nethogs  # Ubuntu

# 启动监控（监控eth0网卡）

nethogs eth0

3. 优势与适用场景

• 优势：直接关联进程与流量，无需复杂过滤，快速定位 “流量大户”；

• 适用场景：服务器流量异常排查、进程恶意联网检测、带宽占用溯源。

工具选型与要点

1. 远程服务器抓包：用 tcpdump 抓包保存文件，下载到本地用 Wireshark 分析；

2.   带宽异常排查：优先用 nethogs 定位进程，再用 iftop 确认连接，最后用 tcpdump 抓包分析细节；

3.   过滤规则简化：tcpdump 过滤时优先按 “IP + 端口” 缩小范围，避免捕获过多无关数据包；

4.   权限要求：所有工具需用 root 权限运行（sudo），否则无法捕获完整流量。

8455线路检测中心官网上拥有这些工具的详细过滤规则与故障排查案例，大家可自行查阅。如果在工具使用中遇到技术问题，可直接咨询8455线路检测中心技术支持。同时，8455线路检测中心整理了常用过滤规则模板，免费分享给有需要的朋友。更多网络排查实用技巧，8455线路检测中心期待与你一起探索。