在日常工作中遇到的很多網(wǎng)絡(luò)問(wèn)題都可以通過(guò) tcpdump 優(yōu)雅的解決：

1. 相信大多數(shù)同學(xué)都遇到過(guò) SSH 連接服務(wù)器緩慢，通過(guò) tcpdump 抓包，可以快速定位到具體原因，一般都是因?yàn)?DNS 解析速度太慢。
2. 當(dāng)我們工程師與用戶面對(duì)網(wǎng)絡(luò)問(wèn)題爭(zhēng)執(zhí)不下時(shí)，通過(guò) tcpdump 抓包，可以快速定位故障原因，輕松甩鍋，毫無(wú)壓力。
3. 當(dāng)我們新開發(fā)的網(wǎng)絡(luò)程序，沒(méi)有按照預(yù)期工作時(shí)，通過(guò) tcpdump 收集相關(guān)數(shù)據(jù)包，從包層面分析具體原因，讓問(wèn)題迎刃而解。
4. 當(dāng)我們的網(wǎng)絡(luò)程序性能比較低時(shí)，通過(guò) tcpdump 分析數(shù)據(jù)流特征，結(jié)合相關(guān)協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)參數(shù)優(yōu)化，提高系統(tǒng)網(wǎng)絡(luò)性能。
5. 當(dāng)我們學(xué)習(xí)網(wǎng)絡(luò)協(xié)議時(shí)，通過(guò) tcpdump 抓包，分析協(xié)議格式，幫助我們更直觀、有效、快速的學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。

上述只是簡(jiǎn)單羅列幾種常見(jiàn)的應(yīng)用場(chǎng)景，而 tcpdump在網(wǎng)絡(luò)診斷、網(wǎng)絡(luò)優(yōu)化、協(xié)議學(xué)習(xí)方面，確實(shí)是一款非常強(qiáng)大的網(wǎng)絡(luò)工具，只要存在網(wǎng)絡(luò)問(wèn)題的地方，總能看到它的身影。

熟練的運(yùn)用 tcpdump，可以幫助我們解決工作中各種網(wǎng)絡(luò)問(wèn)題，下邊我們先簡(jiǎn)單學(xué)習(xí)下它的工作原理。

tcpdump 是 Linux 系統(tǒng)中非常有用的網(wǎng)絡(luò)工具，運(yùn)行在用戶態(tài)，本質(zhì)上是通過(guò)調(diào)用 libpcap 庫(kù)的各種 api來(lái)實(shí)現(xiàn)數(shù)據(jù)包的抓取功能。

通過(guò)上圖，我們可以很直觀的看到，數(shù)據(jù)包到達(dá)網(wǎng)卡后，經(jīng)過(guò)數(shù)據(jù)包過(guò)濾器（BPF）篩選后，拷貝至用戶態(tài)的 tcpdump 程序，以供 tcpdump工具進(jìn)行后續(xù)的處理工作，輸出或保存到 pcap 文件。

數(shù)據(jù)包過(guò)濾器（BPF）主要作用，就是根據(jù)用戶輸入的過(guò)濾規(guī)則，只將用戶關(guān)心的數(shù)據(jù)包拷貝至
tcpdump，這樣能夠減少不必要的數(shù)據(jù)包拷貝，降低抓包帶來(lái)的性能損耗。