Unix网络抓包方法

　　情境

　　在网络故障诊断过程中，经常需要判断对方发送的网络包是否到达主机，进而了解问题出在网络层面还是主机应用层面。如果能够包，但是应用数据仍然没有，可能应用程序解析出了问题，或者被主机自身防火墙屏蔽;否则可能是网络某处包被丢弃。解决此问题的一个重要手段就是在主机上抓包。

　　原理

　　抓包程序为了能够捕获所有流经本网卡的网络包，需要将网卡设置为“混杂模式”，这样所有的网络包都被送到抓包程序进行分析。如果网卡工作在“正常模式”，那么只有发送到本机的IP包，才会被内核接收，传送给应用程序。

　　常用Unix系统的抓包方法

　　a)启动抓包服务

　　b)开始抓包

　　抓取流入和流出的ip包，最多5个trace文件，文件大小44444KB.

　　c)停止抓包

　　d)停止抓包服务

　　e)抓包记录文件分析

　　1)编辑过滤文件

　　2)查看抓包内容

　　使用行模式来显示(这种模式下不会看到包的具体数据)

　　在每行的显示前加上时间戳

　　192.168.1.1-P禁用混杂模式

　　-d指定抓包网卡

　　-c指定抓包数

　　-v显示链层、IP层、和TCP层包头信息

　　-x显示包内容