10、网络问题排查：数据包捕获与DNS故障解决-开发者社区

网络问题排查：数据包捕获与DNS故障解决

tcpdump是一个强大的数据包捕获工具。使用tcpdump时，第一个输出文件名为output.pcap.1，当文件达到10MB时，tcpdump会关闭该文件并开始写入output.pcap.2，以此类推，直到手动终止tcpdump或磁盘空间耗尽。

为避免磁盘空间耗尽，可以使用 -W 选项限制tcpdump最终创建的文件数量。例如，若想让tcpdump每10MB切换到一个新文件，且仅使用50MB磁盘空间，可以限制为5个轮换文件，命令如下：

sudo tcpdump -C 10 -W 5 -w output.pcap

捕获到数据包后，可以使用 -r 选项像实时发生一样重放这些数据包，只需将原始数据包输出文件作为参数指定即可，同时也可以指定过滤器和其他选项，如 -n，就像对实时流量运行tcpdump一样：

sudo tcpdump -n -r output.pcap

tcpdump还有很多有用的选项和过滤器，可通过man tcpdump查看完整说明，该手册还提供了TCP数据包构造的入门知识。

虽然tcpdump便于数据包捕获，但在解析和分析原始数据包时，-r 选项有时不够用，Wireshark则是一个很好的原始数据包分析工具。