在日常工作中遇到的很多網絡問題都可以通過 tcpdump 優雅的解決：

1. 相信大多數同學都遇到過 SSH 連接服務器緩慢，通過 tcpdump 抓包，可以快速定位到具體原因，一般都是因為 DNS 解析速度太慢。
2. 當我們工程師與用戶面對網絡問題爭執不下時，通過 tcpdump 抓包，可以快速定位故障原因，輕松甩鍋，毫無壓力。
3. 當我們新開發的網絡程序，沒有按照預期工作時，通過 tcpdump 收集相關數據包，從包層面分析具體原因，讓問題迎刃而解。
4. 當我們的網絡程序性能比較低時，通過 tcpdump 分析數據流特征，結合相關協議來進行網絡參數優化，提高系統網絡性能。
5. 當我們學習網絡協議時，通過 tcpdump 抓包，分析協議格式，幫助我們更直觀、有效、快速的學習網絡協議。

上述只是簡單羅列幾種常見的應用場景，而 tcpdump在網絡診斷、網絡優化、協議學習方面，確實是一款非常強大的網絡工具，只要存在網絡問題的地方，總能看到它的身影。

熟練的運用 tcpdump，可以幫助我們解決工作中各種網絡問題，下邊我們先簡單學習下它的工作原理。

tcpdump 是 Linux 系統中非常有用的網絡工具，運行在用戶態，本質上是通過調用 libpcap 庫的各種 api來實現數據包的抓取功能。

通過上圖，我們可以很直觀的看到，數據包到達網卡后，經過數據包過濾器（BPF）篩選后，拷貝至用戶態的 tcpdump 程序，以供 tcpdump工具進行后續的處理工作，輸出或保存到 pcap 文件。

數據包過濾器（BPF）主要作用，就是根據用戶輸入的過濾規則，只將用戶關心的數據包拷貝至
tcpdump，這樣能夠減少不必要的數據包拷貝，降低抓包帶來的性能損耗。