从一次断网说起
上周三上午十点,市场部小李突然在群里喊:‘邮箱连不上了!’紧接着财务也说发不出报销单。IT老张没急着重启路由器,而是打开笔记本,运行了几条命令,十五分钟后问题定位到一台异常发包的打印机——这就是网络数据包分析的实战价值。
为什么办公网更需要抓包
企业内网看似稳定,其实暗流涌动。员工插了个私接路由器、某台设备中了挖矿病毒、视频会议卡顿……这些问题光看ping和traceroute根本不够。只有看到真实传输的数据内容,才能揪出元凶。
Wireshark:图形化抓包利器
新手推荐从Wireshark入手。装好后选对网卡,点开始就能看到飞过的数据包。比如排查网页打不开时,在过滤栏输入 http.host contains "baidu" ,如果完全没结果,说明请求根本没发出去;如果有大量重传,则可能是防火墙拦截或网络拥塞。
tcpdump:服务器端的必备技能
运维常接触Linux服务器,这时候得靠命令行工具。下面这条命令能保存最近10秒的DNS查询记录:
sudo tcpdump -i eth0 -s 65535 -w dns.pcap port 53 &
sleep 10
sudo kill %1导出pcap文件后用Wireshark打开,能清楚看到哪些主机在疯狂查域名,是不是有设备被劫持做DNS放大攻击。
真实案例:打印机成内网毒瘤
前面提到的那台打印机,抓包发现它每秒向外部IP发送上千个UDP小包。进一步分析载荷,确认是某个固件漏洞导致的SSDP协议滥用。更换固件后流量恢复正常。要是只靠重启设备,过两天还会复发。
过滤技巧决定效率
面对海量数据,学会过滤是关键。常用组合如下:
ip.src == 192.168.1.100—— 看某台电脑的通信tcp.flags.syn==1 and tcp.flags.ack==0—— 找出所有SYN扫描行为dns.qry.name contains "update"—— 监控可疑动态更新请求
别碰法律红线
公司内部抓包也要讲规矩。明文传输的HTTP密码、邮件正文这些敏感信息,只能用于故障诊断,不得截图传播。最好提前在员工手册里写明监控策略,避免纠纷。技术再强,合规才是底线。