文章目录
介绍
简单记录Wireshark在日常使用过程中的遇到的小case。
正文
Wireshark相较于tcpdump使用较为简单,交互也更为友好。
点击Start即可启动抓包
启动异常-Permission denied
如果是第一次启动Wireshark,经常会遇到以下提示:
You do not have permission to capture on device "lo0". ((cannot open BPF device) /dev/bpf0: Permission denied)
简单翻译就是用户态的进程没有权限读取数据链路层的数据包;
解决方法
通过sudo chmod授权读取权限即可,这里方便演示所以就打开了所有bpf设备的读取权限,其实可以针对性的授予权限。
sudo chmod o+r /dev/bpf*
过滤协议和地址
就像前文介绍的,说到底就是传入过滤表达式给过滤器(BPF)前往内核复制数据包到用户态,方便查看;
所以除了常见的查看指定地址、端口以外还需要指定协议(日常查看最多的就是TCP了):
ip.addr == 127.0.0.1 and tcp.port==61578
另外查看端口的方式是点击某一条数据后点击Transmission Control Protocol即可查看协议细节(当然没有IP,原因请看下文);
指定源地址和目的地址
很多时候,未必清楚端口(是的,笔者在排查中间件相关问题时,业务方找来时往往业务服务端口和连接服务的端口没人知道,时常被人反驳“我怎么知道,你搞基础架构的你应该更清楚啊”,苦涩的笑容溢于言表),所以这时,最好的选择就是通过本地IP和目的服务IP进行过滤:
ip.src== 127.0.0.1 and ip.dst== 127.0.0.1
调整 time format
默认时间显示的是耗时,而其实很多时候还仅需要看异常周期内的数据包,所以时间格式需要调整方便 锁定时间窗口;排查时间窗口内的数据包是否存在异常:
