内网业务慢，服务器说没问题；ping 正常，锅又甩到网络头上了……怎么办？

一条留言引发的"血案"

前天文章发出后，有一条留言戳中了无数网工的痛点：

兄弟，我太懂你了！

锅，又™扣到网络头上了！

今天就教你5个"反杀"工具，用数据把锅扔回去，让该背锅的人闭嘴！

为什么Ping正常≠网络没问题？

很多人以为ping通了就万事大吉，这是最大的误区！

真相是：

• Ping走的是ICMP协议，业务走的是TCP/UDP
• Ping包只有64字节，测不出大文件传输问题
• 很多设备对ICMP优先处理，ping快不代表业务快
• Ping只测网络层，看不到传输层、应用层的坑

就像你测高速公路通不通，只看了路面平不平，但不知道收费站堵不堵、服务区人多不多！

5个"反杀"神器，让数据说话

工具1：TCPing - 直击业务端口

为什么要用？

Ping测的是ICMP，但你的ERP、OA、业务系统用的是TCP！很多防火墙禁了ICMP但业务端口是开的，所以Ping通了不代表业务能访问。

怎么用来"反杀"？

# Windows下载tcping后
tcping -t 192.168.1.100 8080

# 持续测试，看结果
Port 8080 is open: 2.3ms
Port 8080 is open: 234.5ms  ← 看这里！
Port 8080 is open: 189.2ms
Port 8080 is open: 256.8ms

如果TCP握手就要200ms+，而你的交换机到服务器只有1ms，那就是服务器响应慢！

甩锅话术： "领导，我这边TCPing测试显示，TCP连接建立就要200多毫秒，网络传输只有2毫秒。建议服务器团队查一下防火墙、负载均衡器或者服务进程是不是有问题。"

下载地址： www.elifulkerson.com/projects/tcping.php

工具2：Wireshark - 抓包铁证

为什么要用？

这是网工的"行车记录仪"，抓到的包就是"视频证据"，谁也赖不掉！

怎么用来"反杀"？

在用户电脑上抓包10分钟，然后打开分析：

统计 → 对话 → TCP → 按Duration排序

你会看到：

• 网络传输时间： 0.05秒
• 服务器响应时间： 8.5秒 ← 铁证！

再看TCP流：

1. SYN → SYN-ACK: 2ms （网络正常）
2. ACK → PSH: 3ms （网络正常）
3. PSH → 服务器响应: 8500ms （服务器卡住了！）

甩锅话术：

"领导，这是抓包文件，TCP三次握手只用了2毫秒，证明网络没问题。但是服务器响应用了8.5秒，这个时间是服务器处理业务的时间，跟网络无关。建议服务器团队查应用日志和数据库。"

截图发群里，附上抓包文件，一锤定音！

下载地址： www.wireshark.org

工具3：MTR - 逐跳定位凶手

为什么要用？ Ping只告诉你"到不到得了"，MTR告诉你"哪一跳出了问题"。

怎么用来"反杀"？

# Windows用WinMTR，Linux直接用
mtr 192.168.1.100 -r -c 100

结果：
跳 主机IP          丢包率  延迟
1  192.168.10.1   0%      1ms   （你的网关）
2  192.168.1.254  0%      2ms   （核心交换机）
3  192.168.1.100  0%      185ms （服务器）← 问题在这！

如果前几跳都正常，最后一跳延迟暴增，那就是服务器的锅！

甩锅话术： "领导，MTR测试显示，网络路径每一跳延迟都在1-2毫秒，到服务器这一跳突然变成185毫秒。网络路径正常，问题出在服务器端。"

下载地址： https://sourceforge.net/projects/winmtr/（Windows版）

工具4：iPerf3 - 带宽实测神器

为什么要用？ 服务器管理员说："肯定是你们网络带宽不够！" 你用iPerf3一测：带宽跑满，打脸！

怎么用来"反杀"？

# 服务器端
iperf3 -s

# 客户端
iperf3 -c 192.168.1.100 -t 60 -P 10

结果：
[ ID] Interval       Transfer     Bandwidth       Retr
[SUM]  0.0-60.0 sec  6.50 GBytes   930 Mbits/sec  156  ← 看这里

甩锅话术： "领导，iPerf3实测带宽930Mbps，千兆网卡基本跑满。网络带宽完全够用，不是瓶颈。如果业务还慢，建议查应用处理能力和数据库性能。"

下载地址： iperf.fr

工具5：PingInfoView - 长期监控取证

为什么要用？ 有时候问题是偶发的，你测的时候正常，用户用的时候就慢。这时候需要长期监控，用数据量说话！

怎么用来"反杀"？

1. 打开软件，添加关键节点IP：
   • 你的网关
   • 核心交换机
   • 服务器
2. 设置500ms间隔，挂着监控24小时
3. 第二天导出HTML报告：

192.168.10.1  - Ping次数:172800, 成功:172800, 失败:0, 平均:1.2ms
192.168.1.254 - Ping次数:172800, 成功:172800, 失败:0, 平均:2.1ms  
192.168.1.100 - Ping次数:172800, 成功:172453, 失败:347, 平均:45.6ms ← 看这！

网络设备17万次ping全成功，服务器丢了347次包，还狡辩？

甩锅话术： "领导，这是24小时持续监控报告，共ping了172800次。网络设备丢包率0%，服务器丢包347次，平均延迟是网络设备的20倍。数据摆在这，网络没问题。"

下载地址： www.nirsoft.net/utils/multiple_ping_tool.html

那内网业务慢、服务器又不配合怎么办？

这就是粉丝问的那个关键问题：

“iperf 要对端启动服务，服务器不给权限时怎么办？”

其实网工有一堆 不需要对端配合 的终极工具。

这些方法非常适合内网排障，特别是服务器不让你碰的时候。

单端可测 1：hping3 —— 精准测 TCP 握手

只要端口开放，你就能测服务器响应延迟。

hping3 -S -p 8080 192.168.1.100

SYN/ACK 一慢，就是服务器在打瞌睡。

单端可测 2：curl -w —— 测业务真实延迟（强烈推荐）

适用于 Web 系统：

curl -o /dev/null -s -w "tcp:%{time_connect} start:%{time_starttransfer} total:%{time_total}\n" http://192.168.1.100/

含义：

• time_connect：TCP 握手
• time_starttransfer：服务器处理时间
• time_total：业务完整耗时

如果 connect 3ms，starttransfer 6000ms？ 那就是服务器慢。

单端可测 3：tcptraceroute —— 测哪一跳变慢

tcptraceroute 192.168.1.100 8080

最后一跳延迟爆炸 = 服务器锅。

单端工具总结

你完全可以单端定位问题，把锅还给真正的主人。

写在最后

兄弟们，咱们网工干的是技术活，不是背锅侠！网络排查不是一个人孤军奋战的事，学会用工具说话，让数据帮你解决问题。在面对复杂的服务器、应用层故障时，不要盲目背锅，用数据击破每一个假设，最终达到精准排查、快速解决问题的目标。

学会用工具说话，别让哑巴亏自己吃。

这不是甩锅，是还原真相。该谁的锅就是谁的，这样才能真正解决问题！

最后一个问题：

你被冤枉过吗？网络背过最冤的锅是啥？