一、带宽过载场景
1. 现象特征
接口持续处于100%利用率状态
TCP滑动窗口频繁缩小(ZERO WINDOW警报)
QoS丢包计数器持续增长
2. 抓包分析
# 捕获接口流量(万兆环境)
tcpdump -i eth0 -s 0 -w overload.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'
# 关键指标提取
tshark -r overload.pcap -q -z io,stat,1,"SUM(tcp.window_size) tcp.window_size"
Wireshark诊断:
I/O Graphs显示持续>9.8Gbps带宽占用
过滤tcp.analysis.zero_window出现频率>5次/秒
Expert Info提示大量TCP Window Full事件
二、广播风暴场景
1. 现象特征
ARP请求暴增(>1000包/秒)
交换机CPU超过85%利用率
MAC地址表震荡
2. 捕获示例
tcpdump -i any -nn -v 'arp || stp' -c 10000 -w storm.pcap
分析步骤:
arp.opcode == 1 # 过滤ARP请求
&& frame.time_delta < 0.001 # 包间隔<1ms
典型数据:
同一源MAC在0.5秒内发送500+ ARP Request
STP TCN BPDU(拓扑变更通告)每秒超100个
三、TCP重传风暴
1. 触发条件
物理链路误码率>0.1%
中间设备Buffer过载
不合理的拥塞控制算法(如BBR配置不当)
2. 抓包定位
tcp.analysis.retransmission || tcp.analysis.fast_retransmission
性能指标:
重传率 = \frac{Retransmit Segments}{Total Segments} × 100\% > 5\%
优化对比:
# 调整前:CUBIC算法
[TCP Retransmit] Seq=1001 Len=1460
[TCP Retransmit] Seq=1001 Len=1460 (间隔12ms)
# 调整后:BBRv3算法
[TCP Retransmit] Seq=1001 Len=1460
[TCP SACK] Seq=2461 Len=1460 (快速恢复)
四、路由环路场景
1. 典型数据包特征
字段
正常值
环路值
TTL
64> >1
持续递减至0
IP ID
随机化
相同数据包重复出现
2. 异常包捕获
tcpdump -i eth0 -vvv 'ip[8] < 5' -w loop.pcap # 捕获TTL<5的包
分析技巧:
ip.dst == ip.src 过滤自发自收流量
Follow TCP Stream观察重复载荷
统计TTL递减趋势:
tshark -r loop.pcap -T fields -e ip.ttl | sort | uniq -c
162 6
327 5