Wireshark网络分析(林沛满书学习总结)

分析问题角度

#重启后无法通信,注意路由表

#注意观察IP,有时候拒绝访问是请求经过NAT,source IP被改掉了

#重传率高:可能乱序

#是否有防火墙拦截

#如果使用UDP传输,数据包分片传输后,若远距离传输丢包,则全部重传,大大降低效率。UDP适合DNS查询和语音通话等。

#注意MTU大小对应:可能会导致一直重传一直丢包,传输像掉进了黑洞

相关方法

#包(“帧”)的最大长度一般为1514字节,启用了Jumbo Frame(巨型帧)可达9000字节以上。为了只抓包头,在wireshark的options里定义“Limit each packet to”设置为80(偏大的数字),TCP层、网络层和数据链路层的信息都可包括在内。 或者用tcpdump -s可以达到相同效果。

wireshark分析gquic wireshark分析udp丢包率_wireshark分析gquic

#为操作打标记,可以每一步完成ping (IP) -n 1 -l (number)

wireshark的提示:

(1)Packet size limited during capture
说明标记的包未抓全(如全长171字节,只抓了前96字节)
(2)TCP previous segment not captured
说明中间有包没抓到,可能真丢也可能漏抓,判断方法是看对方回复的ACK值
(3)TCP ACKed unseen segment
发现包未抓到,最常见,几乎永远可以忽略
(4)TCP Out-of-Order
乱序
(5)TCP Dup ACK
乱序或丢包时,接收方会收到Seq的值比期望值大的包
(6)TCP Fast Retransmission
发送方收到3个或以上的TCP Dup ACK,因此快速重传。
(7)TCP Retransmission
发送方未收到接收方触发,超时重传
(8)TCP zerowindow
表示这个包的发送方当前还有多少缓存区可以接收数据
(9)TCP window Full
表示接收方所声明的接收窗口已耗尽

过滤操作

1.协议名过滤:

wireshark分析gquic wireshark分析udp丢包率_计算机网络_02

2.IP地址加port号:

wireshark分析gquic wireshark分析udp丢包率_wireshark_03

3.用 && 进一步过滤或 || 防止遗漏

wireshark分析gquic wireshark分析udp丢包率_学习_04

让wireshark自动分析

##专家分析

wireshark分析gquic wireshark分析udp丢包率_wireshark分析gquic_05

wireshark分析gquic wireshark分析udp丢包率_wireshark_06

##性能问题三板斧:
(1)Statistics——Summary,流量高不高,负担重不重
(2)Statistics——Service Response Time——ONC RPC——Program:NFS Version:3——Create Stat,看响应时间,存储是否过载
(3)Analyze——Expert Info Composite,看是否报错,有无网络问题,注意重传、乱序

TCP常用参数

#Seq:表示该数据段的序号
#Len:该数据段的长度
#Ack:确认号,接收方确认已经收到哪些字节
#SYN:携带这个标志的包表示正在发起连接请求。
#FIN:携带这个标志的包表示正在请求终止连接。
#RST:用于重置一个混乱的连接,或者拒绝一个无效的请求。实际中,RST往往意味着大问题。如果看到,务必好好检查。