企业官网建设流程全解析

抓包实战系列第 3 篇。

上一篇我们讲了 Wireshark：如何把抓到的 pcap 文件按协议层层拆开分析。今天讲一个更基础也更容易被忽略的问题：怎么抓到真正有用的包。很多排障失败，不是不会看包，而是一开始就没抓对包。

开场：抓包不难，抓对才难

抓包这件事，看起来很简单。

输入一条命令：

tcpdump-ieth0-nn

屏幕开始刷。

你会有一种很踏实的错觉：

我已经在排查网络问题了。

但现实经常更残酷。

你抓了半小时。

文件 2GB。

打开 Wireshark。

包很多。

线索没有。

最后发现：

• 抓错了网卡
• 抓晚了时间
• 过滤条件写反了
• 客户端流量走了另一路
• 容器流量没经过你抓的接口
• HTTPS 内容加密，抓到了也看不到明文
• 真正的问题发生在 DNS 阶段，你一直盯 TCP

这时候你会明白：