Linux网络故障该如何排查？_Linux抓包与诊断工具详解-LINUX-PHP中文网

linux网络故障排查的起点是检查物理层与链路层连通性，逐步深入ip配置、路由、dns、防火墙、服务状态及抓包分析。1.首先确认网线连接正常，使用ip link show或ifconfig -a查看网卡状态是否up，down则用命令激活；2.通过ip a show确认ip地址配置正确，ip r show检查默认路由是否存在；3.用ping测试本机、网关、外网ip和域名解析，判断问题层级；4.cat /etc/resolv.conf或resolvectl status确认dns配置，dig或nslookup测试域名解析；5.检查iptables、ufw或firewalld规则，确认端口开放；6.用ss -tuln或netstat -tuln查看监听端口，lsof -i定位占用进程；7.利用tcpdump在对应接口抓包分析数据流向，保存为pcap文件后导入wireshark进行图形化深度解析；8.查看journalctl -xe或tail -f /var/log/syslog获取系统和服务日志线索，辅助问题定位。

Linux网络故障该如何排查？_Linux抓包与诊断工具详解

Linux网络故障排查，其实就是一场侦探游戏，核心在于系统性地缩小问题范围，并最终锁定症结所在。这通常需要从最基础的网络连通性检查开始，逐步深入到系统日志、服务状态，最终动用强大的抓包和诊断工具，去“看”网络里到底发生了什么。很多时候，问题并不复杂，只是我们没有找到正确的“视角”去观察它。

解决方案

排查Linux网络故障，我习惯从以下几个层次入手，像剥洋葱一样层层深入：

物理层与链路层初步判断：
- 检查网线是否插好，指示灯是否正常闪烁。
- 使用
```
ip link show
```
  登录后复制
  或
```
ifconfig -a
```
  登录后复制
  (如果还在用) 确认网卡是否识别，状态是否是UP。如果显示DOWN，尝试
```
sudo ip link set <interface_name> up
```
  登录后复制
  激活。
- 检查
```
dmesg
```
  登录后复制
  输出，看是否有网卡驱动相关的错误信息。
IP地址与路由配置：
- ```
ip a show
```
  登录后复制
  ：确认网卡是否正确获取到IP地址（手动配置或DHCP）。检查子网掩码是否正确。
- ```
ip r show
```
  登录后复制
  ：查看路由表，特别是默认网关是否指向正确。如果缺少默认路由，外部网络将无法访问。
- ```
ping <gateway_ip>
```
  登录后复制
  ：测试能否ping通网关。
- ```
ping 8.8.8.8
```
  登录后复制
  或
```
ping 114.114.114.114
```
  登录后复制
  ：测试能否ping通外网IP，排除DNS问题。
- ```
traceroute <destination_ip>
```
  登录后复制
  或
```
mtr <destination_ip>
```
  登录后复制
  ：追踪数据包路径，看是在哪一跳中断。
DNS解析问题：
- ```
cat /etc/resolv.conf
```
  登录后复制
  ：检查DNS服务器配置是否正确。
- ```
resolvectl status
```
  登录后复制
  (systemd-resolved 用户) 或
```
systemd-resolve --status
```
  登录后复制
  ：查看DNS解析器状态。
- ```
dig <hostname>
```
  登录后复制
  或
```
nslookup <hostname>
```
  登录后复制
  ：测试域名解析是否正常。如果能ping通IP但不能ping通域名，基本就是DNS问题。
防火墙与安全组：
- ```
sudo iptables -nvL
```
  登录后复制
  ：检查iptables规则，看是否有规则阻止了流量。
- ```
sudo ufw status
```
  登录后复制
  ：如果使用UFW，检查其状态和规则。
- ```
sudo firewall-cmd --list-all
```
  登录后复制
  (如果使用firewalld)：检查firewalld规则。
- 很多时候，我们忘记开放端口或允许特定IP访问，导致服务不可达。
服务与端口状态：
- ```
ss -tuln
```
  登录后复制
  或
```
netstat -tuln
```
  登录后复制
  ：查看哪些端口正在监听，哪些连接已建立。确认服务是否在正确的端口上监听。
- ```
sudo lsof -i :<port_number>
```
  登录后复制
  ：查看哪个进程占用了特定端口。
- ```
systemctl status <service_name>
```
  登录后复制
  ：检查相关网络服务的运行状态，比如
```
nginx
```
  登录后复制
  、
```
apache2
```
  登录后复制
  、
```
sshd
```
  登录后复制
  等。
抓包分析：
- ```
tcpdump -i <interface> host <ip_address> and port <port_number> -vvv -X
```
  登录后复制
  ：在命令行实时抓取数据包，观察流量走向和内容。这是最直接的“看”网络数据的方式。
- 将
```
tcpdump
```
  登录后复制
  抓取的数据保存为pcap文件 (
```
-w <filename.pcap>
```
  登录后复制
  )，然后导入Wireshark进行图形化分析。Wireshark提供了强大的协议解析和过滤功能，能帮助我们深入理解数据包的每一个细节。
系统日志：
- ```
journalctl -xe
```
  登录后复制
  ：查看系统日志，特别是与网络、服务相关的错误或警告信息。很多时候，服务启动失败或配置错误会在日志中留下线索。
- ```
tail -f /var/log/syslog
```
  登录后复制
  或
```
/var/log/messages
```
  登录后复制
  ：实时监控日志，观察在重现问题时是否有新的错误出现。

Linux网络故障排查的起点在哪里？

当我们面对一个“网络不通”的模糊报告时，首先要做的不是急着去用复杂的工具，而是要明确问题的“边界”和“症状”。这个起点，我个人觉得，是明确故障的范围和初步的连通性测试。

打个比方，你家停电了，你会先看是不是总闸跳了，而不是直接拆开插座检查。网络故障也是如此。

是整个服务器都无法联网，还是只有某个服务端口不通？ 比如，SSH能连上，但网站打不开，这说明网络层是通的，问题可能在Web服务本身或其端口。
是所有外部IP都无法访问，还是只有特定IP或域名无法解析？ 如果能ping通IP但不能ping通域名，那八成是DNS的问题。
是内网互通，但外网不通？ 这通常指向默认网关或外部路由问题。

一旦有了初步判断，就可以进行最简单的连通性测试：

```
ping
```
登录后复制
命令：
- ```
ping 127.0.0.1
```
  登录后复制
  ：测试本机网络栈是否正常。如果这个都不通，那问题非常底层。
- ```
ping <本机同网段另一台机器的IP>
```
  登录后复制
  ：测试局域网内连通性。
- ```
ping <默认网关IP>
```
  登录后复制
  ：测试能否到达网关。如果网关不通，那基本可以确定问题在本地网卡、线缆或网关设备本身。
- ```
ping 8.8.8.8
```
  登录后复制
  (Google DNS) 或
```
ping baidu.com
```
  登录后复制
  ：测试能否访问外部网络。如果能ping通IP但ping不通域名，那DNS配置就成了重点怀疑对象。
```
ip a show
```
登录后复制
和
ip r show
登录后复制
：
- 这两个命令是你的“网络身份证”和“地图”。
```
ip a show
```
  登录后复制
  告诉你你的网卡叫什么，有没有IP地址，地址对不对。
```
ip r show
```
  登录后复制
  告诉你你的数据包要往哪里走，有没有去往目的地的路。很多时候，IP地址配置错误、子网掩码不对或者缺少默认路由，就能直接导致“网络不通”。

这些基础检查，看似简单，却能迅速排除大量低级错误，为后续的深入排查指明方向。

如何利用Linux命令行工具快速定位网络问题？

Linux命令行工具的强大之处在于它们的组合性和灵活性，能够以非常精细的方式检查网络状态。除了上面提到的

ping

登录后复制

、

ip

登录后复制

，还有一些工具是网络排查的利器。

英特尔AI工具

英特尔AI与机器学习解决方案

查看详情

```
ss
```
登录后复制
(Socket Statistics) /
netstat
登录后复制
：
- ```
ss -tuln
```
  登录后复制
  ：这是我最常用的命令之一。
```
t
```
  登录后复制
  表示TCP，
```
u
```
  登录后复制
  表示UDP，
```
l
```
  登录后复制
  表示监听状态，
```
n
```
  登录后复制
  表示不解析服务名和主机名（更快）。它能清晰地列出所有正在监听的端口以及对应的进程。如果你的服务声称已经启动，但这里看不到对应的监听端口，那么服务可能根本没起来，或者监听的地址/端口不对。
- ```
ss -s
```
  登录后复制
  ：查看套接字统计信息，能大致了解当前系统的网络连接负载。
- ```
netstat
```
  登录后复制
  虽然老旧，但在很多系统上依然可用，
```
netstat -tulnp
```
  登录后复制
  也能达到类似效果，
```
p
```
  登录后复制
  参数可以显示进程ID和程序名。
```
lsof -i
```
登录后复制
(List Open Files - Internet sockets)：
- 当你发现某个端口被占用，但
```
ss
```
  登录后复制
  或
```
netstat
```
  登录后复制
  没告诉你具体是哪个进程时，
```
lsof -i :<port_number>
```
  登录后复制
  就能派上用场。它会列出所有打开了指定端口的进程，包括PID，这对于解决端口冲突问题非常有效。
- ```
lsof -i tcp
```
  登录后复制
  或
```
lsof -i udp
```
  登录后复制
  也能列出所有TCP或UDP连接。
```
curl
```
登录后复制
/
wget
登录后复制
：
- 这两个工具不仅仅是下载器，更是应用层连通性测试的利器。
- ```
curl -v <http://example.com>
```
  登录后复制
  ：它会显示HTTP请求的详细过程，包括DNS解析、TCP连接、SSL握手、HTTP请求头和响应头。如果
```
ping
```
  登录后复制
  能通，但
```
curl
```
  登录后复制
  连不上网站，那么问题可能出在HTTP/HTTPS代理、防火墙、Web服务器配置或应用层服务本身。
```
-v
```
  登录后复制
  参数非常关键，能提供大量调试信息。
- ```
wget <http://example.com>
```
  登录后复制
  ：类似
```
curl
```
  登录后复制
  ，可以测试HTTP/HTTPS连通性。
```
nmap
```
登录后复制
(Network Mapper)：
- 虽然主要用于网络发现和安全审计，但
```
nmap
```
  登录后复制
  也可以用来快速扫描目标主机的开放端口。
- ```
nmap -p 22,80,443 <target_ip>
```
  登录后复制
  ：扫描目标IP的22、80、443端口是否开放。这能帮助你判断目标机器的防火墙是否允许你的连接，或者服务是否确实在监听这些端口。

这些工具的组合使用，能让你像X光一样“透视”网络连接的各个层面，从链路到应用，迅速锁定问题所在。

Linux抓包工具tcpdump与Wireshark实战指南

当所有基础工具都无法明确指出问题，或者你需要深入了解数据包在网络中是如何流动的、内容是什么时，抓包工具就成了不可或缺的“显微镜”。

tcpdump

登录后复制

和

Wireshark

登录后复制

是这个领域的两大巨头。

tcpdump

登录后复制

：命令行下的瑞士军刀

tcpdump

登录后复制

是一个强大的命令行抓包工具，尤其适合在服务器上进行实时监控和快速诊断。

基本用法：
```
sudo tcpdump -i <interface_name>
```
登录后复制
- ```
<interface_name>
```
  登录后复制
  是你要监听的网卡接口，比如
```
eth0
```
  登录后复制
  、
```
ens33
```
  登录后复制
  、
```
lo
```
  登录后复制
  (本地回环)。
常用选项和过滤：
- ```
-n
```
  登录后复制
  ：不将IP地址转换为主机名，不将端口号转换为服务名，提高抓包速度和可读性。
- ```
-nn
```
  登录后复制
  ：更彻底，不解析主机名和服务名。
- ```
-v
```
  登录后复制
  /
```
-vv
```
  登录后复制
  /
```
-vvv
```
  登录后复制
  ：增加详细程度，显示更多协议信息。
- ```
-X
```
  登录后复制
  ：显示十六进制和ASCII码的数据包内容，可以看到应用层数据。
- ```
-s 0
```
  登录后复制
  ：捕获完整数据包，不截断（默认会截断）。
- ```
-w <filename.pcap>
```
  登录后复制
  ：将抓取到的数据包保存到文件，方便后续用
```
Wireshark
```
  登录后复制
  分析。
- 过滤表达式： 这是
```
tcpdump
```
  登录后复制
  的精髓。
  - ```
  host <ip_address>
```
  登录后复制
  ：只抓取与指定IP地址相关的数据包。
- ```
port <port_number>
```
    登录后复制
    ：只抓取指定端口的数据包。
  - ```
  src host <ip>
```
  登录后复制
  /
```
  dst host <ip>
```
  登录后复制
  ：源IP或目的IP。
- ```
src port <port>
```
    登录后复制
    /
```
dst port <port>
```
    登录后复制
    ：源端口或目的端口。
  - ```
  tcp
```
  登录后复制
  /
```
  udp
```
  登录后复制
  /
```
  icmp
```
  登录后复制
  ：只抓取特定协议的数据包。
- ```
and
```
    登录后复制
    /
```
or
```
    登录后复制
    /
```
not
```
    登录后复制
    ：组合过滤条件。
  - 示例：
```
sudo tcpdump -nn -i eth0 host 192.168.1.100 and port 80 or port 443 -w web_traffic.pcap
```
    登录后复制
    - 这会抓取
      eth0
      登录后复制
      接口上，与
      192.168.1.100
      登录后复制
      之间，发生在80或443端口的TCP/UDP数据包，并保存到
      web_traffic.pcap
      登录后复制
      文件。

Wireshark

登录后复制

：图形化数据包分析大师

Wireshark

登录后复制

是一个图形界面的网络协议分析器，它能够读取

tcpdump

登录后复制

生成的pcap文件，并提供极其强大的协议解析、过滤和可视化功能。

导入pcap文件： 打开
```
Wireshark
```
登录后复制
，选择
```
File -> Open
```
登录后复制
，导入你用
```
tcpdump
```
登录后复制
保存的pcap文件。
过滤：
```
Wireshark
```
登录后复制
的过滤功能比
```
tcpdump
```
登录后复制
强大得多，支持各种协议字段的过滤。
- ```
ip.addr == 192.168.1.100
```
  登录后复制
  ：显示与该IP地址相关的所有数据包。
- ```
tcp.port == 80
```
  登录后复制
  ：显示所有TCP 80端口的数据包。
- ```
http
```
  登录后复制
  ：显示所有HTTP协议的数据包。
- ```
http.request.method == "POST"
```
  登录后复制
  ：过滤HTTP POST请求。
- ```
tcp.flags.syn == 1 and tcp.flags.ack == 0
```
  登录后复制
  ：显示所有SYN包（TCP三次握手的第一步）。
- 你可以通过组合这些过滤条件，快速定位你感兴趣的数据包。
协议解析：
```
Wireshark
```
登录后复制
能自动解析上百种网络协议，并以树状结构展示每个数据包的详细内容，从物理层到应用层，一览无余。
流追踪： 右键点击一个TCP数据包，选择
```
Follow -> TCP Stream
```
登录后复制
，可以查看一个完整的TCP会话的来回数据流，这对于调试HTTP、SSH等应用层协议非常有用。

实战场景：

假设你的Web服务器无法访问。

首先
```
ping
```
登录后复制
确认服务器是否在线。
```
ss -tuln
```
登录后复制
确认Nginx/Apache是否在监听80/443端口。
如果都正常，但在客户端仍然无法访问，那么可能是防火墙或中间网络设备的问题。

此时，在服务器上执行

sudo tcpdump -nn -i eth0 port 80 or port 443 -w web_debug.pcap

登录后复制

。

在客户端尝试访问Web服务。
停止
```
tcpdump
```
登录后复制
，将
```
web_debug.pcap
```
登录后复制
文件下载到本地，用
```
Wireshark
```
登录后复制
打开。
在
```
Wireshark
```
登录后复制
中过滤
```
tcp.port == 80 or tcp.port == 443
```
登录后复制
。
- 如果看到客户端发出了SYN包，但服务器没有回应SYN-ACK，那么问题可能在服务器的防火墙、服务未启动或网络配置。
- 如果看到了完整的TCP三次握手，但没有HTTP请求或响应，那么可能是应用层协议问题。
- 如果看到了HTTP请求，但服务器返回了错误代码（如404、500），那么问题在于Web服务器配置或应用本身。