别一上来就抓包
很多人拿到网络协议分析器,比如 Wireshark,第一反应就是点“开始”抓包。但这样很容易被海量数据淹没。你得先想清楚:现在要查什么问题?是网页打不开,还是 App 上传慢?目标明确,才能设置过滤条件,避免抓到几万条无关数据。
过滤规则要写对
直接看全部流量就像在菜市场找一根针。用好显示过滤器能省不少力气。比如只看 HTTP 流量,可以输入 http;只想看某个 IP 的通信,写 ip.addr == 192.168.1.100 就行。注意别把 == 写成 =,不然语法错误,啥都看不到。
http && ip.addr == 192.168.1.100这行规则表示同时满足是 HTTP 协议且涉及指定 IP 的数据包。
小心敏感信息泄露
协议分析器能看见明文传输的内容。你在咖啡馆连个没加密的网站,别人用工具一抓,账号密码可能就裸着出来了。反过来,你自己分析时也别随便导出抓包文件发群里,万一里面有公司内网请求或登录凭证,后患无穷。
选对网卡接口
笔记本通常有 Wi-Fi 和蓝牙共用的无线网卡,还可能有虚拟机带来的虚拟适配器。启动前确认选的是正在通信的那个接口。比如你正用 Wi-Fi 上网,结果选了 VMware 的虚拟网卡,那抓半天也是空的。
别在生产环境乱来
有些单位的系统特别敏感,私自抓包可能触发安全警报。之前有个运维小哥在银行内网随手开了抓包,不到三分钟安保就上门了。不是开玩笑,操作前先问清楚有没有合规流程。
时间戳记得校准
排查问题常需要和其他日志对照。如果抓包的时间和服务器差了几分钟,对不上号,分析起来就费劲。最好提前同步系统时间,或者抓包时顺手记下当前标准时间。
保存文件要有备注
别把所有抓包都叫 capture1.pcap、capture2.pcap。下次想找某个特定场景的数据,根本记不清哪个是哪个。建议命名带上时间、用途,比如 20240415_支付超时抓包.pcap,再建个简单文本说明当时的网络环境。