你有没有遇到过这样的情况:公司Wi-Fi突然变慢,网页打不开,视频卡成PPT,但路由器指示灯明明亮着?或者家里孩子上网课时频繁掉线,检查宽带又没报修——问题到底出在哪?这时候,光看网速测速结果是不够的,得“看见”网络里跑的是什么数据。
数据包才是网络的真实语言
所有上网行为,无论是刷短视频、发微信、下载文件,最终都会被拆成一个个小“信封”,也就是网络数据包。它们带着源地址、目标地址、协议类型(比如HTTP、DNS、TCP)、大小和内容片段,在网线或Wi-Fi中飞快穿行。这些包平时看不见,但一旦异常——比如某台电脑偷偷连着陌生服务器上传大量数据,或者某个程序疯狂发DNS请求导致网络拥塞——就可能拖垮整个局域网。
用工具“抓”住它们看看
这时候就得靠网络数据包分析工具。最常用也免费的是Wireshark,装好后选中你正在用的网卡(比如“WLAN”或“以太网”),点一下“开始捕获”,屏幕上立刻滚动起密密麻麻的行:时间、源IP、目标IP、协议、长度、信息摘要……就像把网络流量摊开在显微镜下。
举个例子:你发现电脑半夜CPU风扇狂转,但没开任何程序。打开Wireshark过滤一下:
tcp.port == 443 && ip.src == 192.168.1.105不只是查问题,还能学原理
新手常觉得抓包太硬核,其实它是理解网络最直观的方式。比如你在浏览器输入www.baidu.com,按下回车后Wireshark会先抓到一条DNS查询包(目标端口53),接着是几条TCP三次握手(SYN、SYN+ACK、ACK),最后才是HTTP GET请求。亲眼看着这些包一来一回,比背教材里的“三次握手”印象深得多。
日常监控不用一直开着Wireshark。可以搭配轻量工具如GlassWire,它把流量按程序、按时间、按远程地址画成图表,像看水电表一样:微信占了30%上行带宽?某款游戏更新时悄悄下了2GB?一眼就清楚。
家里有NAS或智能家居设备,也可以用tcpdump(Linux/macOS命令行)定时抓包存日志:
tcpdump -i eth0 -w /home/pi/traffic_$(date +%H%M).pcap port 80 or port 443 -G 3600