银河麒麟v10 sp1服务器操作系统：tcpdump实战抓包与网络故障排查指南

1. 为什么需要tcpdump抓包工具

在服务器运维工作中，网络问题就像是一团乱麻，你永远不知道问题出在哪根线上。我遇到过最头疼的情况是：应用突然连接不上数据库，但数据库服务显示正常运行，防火墙配置也没问题。这时候，tcpdump就是我的"听诊器"，能直接监听服务器的网络"心跳"。

银河麒麟v10 sp1作为国产服务器操作系统的主力军，很多关键业务都跑在这个平台上。不同于图形化抓包工具Wireshark，tcpdump的优势在于：

• 轻量级：不依赖GUI，SSH连接就能用
• 精准定位：可以精确到某个网卡、特定端口甚至数据包内容
• 低影响：对系统性能影响极小，生产环境也能放心用

记得有次排查一个偶发的HTTP 500错误，通过tcpdump抓取Nginx和后端服务的通信，发现是TCP连接被异常重置，最终定位到是负载均衡器的健康检查配置问题。没有tcpdump的话，这种问题可能要排查好几天。

2. 安装与基础配置

2.1 检查与安装

在银河麒麟v10 sp1上，先用这个命令检查是否已安装：

rpm -qa | grep tcpdump

如果没安装，别急着用yum——银河麒麟的软件源可能有点特殊。我建议先用系统自带的Kylin软件中心搜索安装，如果不行再用：

sudo yum --disablerepo=* --enablerepo=kylin install tcpdump

注意：如果遇到依赖问题，可能需要先安装libpcap包，这是tcpdump的底层依赖库。

2.2 权限配置

很多新手会直接root运行tcpdump，其实更安全的做法是：

sudo groupadd pcap sudo usermod -a -G pcap your_username sudo chgrp pcap /usr/sbin/tcpdump sudo chmod 750 /usr/sbin/tcpdump sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

这样配置后，普通用户也能抓包，避免了root权限滥用的风险。

3. 实战抓包技巧

3.1 基础抓包命令

先看网卡列表：

tcpdump -D

在银河麒麟上，常见的网卡名可能是ens33、eth0或者新版的命名如enp0s3。

抓取HTTP流量（80端口）的黄金命令：

tcpdump -i ens33 -nn -s0 port 80 -w http.pcap

参数解释：

• -nn：不解析域名和端口名（加快速度）
• -s0：抓完整数据包（避免截断）
• port 80：只抓HTTP流量
• -w：保存为pcap文件供后续分析

3.2 高级过滤技巧

排查数据库连接问题时，我常用这个组合：

tcpdump -i any -nn -s0 'port 3306 and (tcp[13] & 4!=0 or tcp[13] & 2!=0)'

这个魔法般的命令可以抓取MySQL端口的RST和SYN包，专门用来诊断连接中断问题。

如果想看某个IP的进出流量：

tcpdump -i ens33 host 192.168.1.100 -c 50 -w problem_host.pcap

-c 50表示只抓50个包，避免文件过大。

4. 典型故障排查案例

4.1 案例一：服务间通信超时

现象：A服务调用B服务经常超时，但双方日志都显示正常。

排查步骤：

1. 在B服务服务器抓包：

   tcpdump -i ens33 -nn host 10.0.0.1 and port 8080 -w timeout.pcap

2. 用Wireshark分析pcap文件，发现TCP重传率高达30%
3. 最终定位到是中间交换机端口协商模式不匹配

4.2 案例二：DNS解析异常

现象：应用偶尔报"Unknown host"错误。

抓包命令：

tcpdump -i any -nn -s0 port 53 -w dns_debug.pcap

分析后发现是DNS查询响应时间波动大，调整/etc/resolv.conf的nameserver顺序后解决。

5. 性能优化与注意事项

5.1 降低系统影响

在大流量环境下，这些参数很关键：

tcpdump -i ens33 -B 4096 -c 1000 -w traffic.pcap

-B 4096设置缓冲区大小，避免丢包。如果还出现"packets dropped by kernel"，可能需要调整内核参数：

sysctl -w net.core.rmem_max=26214400

5.2 分析技巧

抓到的pcap文件可以用scp传到本地，用Wireshark图形化分析。但紧急情况下，直接命令行分析也很高效：

tcpdump -r http.pcap -nn 'tcp[13] == 0x12' | wc -l

这个命令可以统计SYN-ACK包数量，快速判断连接建立成功率。

在银河麒麟上长期运行抓包建议用nohup：

nohup tcpdump -i ens33 -G 3600 -w /var/log/tcpdump/%Y-%m-%d_%H-%M-%S.pcap &

-G 3600表示每小时轮转一个文件，避免单个文件过大。