情境:在网络故障诊断过程中，经常需要判断对方发送的网络包是否到达主机，进而了解问题出在网络层面还是主机应用层面。如果能够包，但是应用数据仍然没有，可能应用程序解析出了问题，或者被主机自身防火墙屏蔽;否则可能是网络某处包被丢弃。解决此问题的一个重要手段就是在主机上抓包。

原理:抓包程序为了能够捕获所有流经本网卡的网络包，需要将网卡设置为“混杂模式”，这样所有的网络包都被送到抓包程序进行分析。如果网卡工作在“正常模式”，那么只有发送到本机的IP包，才会被内核接收，传送给应用程序。

常用Unix系统的抓包方法

a)启动抓包服务

b)开始抓包

抓取流入和流出的ip包，最多5个trace文件，文件大小44444KB.

c)停止抓包

d)停止抓包服务

e)抓包记录文件分析

1)编辑过滤文件

2)查看抓包内容

使用行模式来显示(这种模式下不会看到包的具体数据)

在每行的显示前加上时间戳

192.168.1.1-P禁用混杂模式

-d指定抓包网卡

-c指定抓包数

-v显示链层、IP层、和TCP层包头信息

-x显示包内容