wireshark抓包显示红色 wireshark抓包出错

• 先置个顶，目前会一直更新

工具：wireshark

• 常用wireshark过滤规则：

1、地址过滤
	ip.src 源
	ip.dst 目的
	ip.host 解析后数据
	ip.addr 某一地址
	(过滤IPv6使用ipv6.*)
	ip.addr > && ip.addr < 显示地址范围
2、端口过滤
	协议.port==端口，过滤出相关协议数据包
* DHCP过滤
	DHCPv4使用bootp语法过滤，IPv6不是基于bootp的，使用DHCPv6
3、过滤单一的TCP/UDP会话：
	Packet List右击，选择Conversation Filter|TCP/UDP
4、追踪流
	右击某一会话：Fallow Stream

一、响应问题：

1、大量重传：

重传很久对方才响应，正常的时候没有重传：可能是由于网络不稳定，在中间设备抓包查看丢包位置

大量重传和dup ack，链路中应该是有丢包，镜像流量方便排查

2、响应慢：查对方

TCP Keep-Alive:保活探测机制。避免由于连接双方都处于空闲状态时，其中任一方出现故障，另一方不知情会一直维持链接，造成的资源消耗以及有可能导致在一个无效的数据链路层面发送业务数据，发送失败的结果。

负载设备转发问题：
1、内存、磁盘、CPU使用情况
2、查询日志是否有告警
3、配置问题
F5 in向主动drop：
1.收到的数据包VLAN ID与接口所在VLAN 不匹配
2. 未知数据类型
3. 上联设备端口泛洪包
服务器响应慢：
1、客户端通过ping、curl方式排除是客户端还是服务器的问题
2、查看服务器负载情况、磁盘情况、内存、日志、应用程序有无异常
3、数据库连接数、活跃线程、查询效率
4、文件服务器、缓存服务器负载情况、磁盘情况、内存、日志、应用程序有无异常

二、建立连接失败：

（以在负载均衡设备上抓包为例）

1、服务器无响应：（Performance L4类型VS，6-9号包客户端>F5>服务器，没有问题）

F5转址之后发给服务器，服务器没有响应，F5发送RST断开连接

客户端经过F5后给后端服务器发送了syn的包，服务器没有回应

F5在发送三次重传后仍没有收到服务器回报，主动发送RST断开连接，设备转发没有问题，页面错误为504提示服务器没有回应，是否有墙拦截

2、中间设备MAC地址有误： 查看设备mac是否正确，此情况为中间设备是否转包有问题，建议从中间设备抓包查一下mac.

3、路由指向问题：

返回了错误的VLAN（id 为16），负载设备上没有此VLAN（F5向后端发送VLAN id为12）4、流量半路被拦截：

从抓包中可以看出全是出向，F5上并未抓到客户端ping/telnet的入向流量，排查前端是否有设备拦截

• Neighbor Advertisement：

IPv6邻居通告的数据包，F5设备会为本地链路地址发送大量ICMPv6邻居通告数据包，用来刷新上游交换机的FDB表

IPv6 neighbor showing down

问题：
IPv6 邻居显示为关闭，BGP 邻居状态为活动：

• ip -f inet6 neigh show 命令将邻居显示为失败
• IPv6 邻居未显示在 show /net ndp all 命令中
• 数据包捕获显示 BIG-IP 发送邻居请求数据包，不接收邻居通告数据包作为回报
• 从 BIG-IP 到 IPv6 邻居的 Ping 操作失败
• 在 BIG-IP 中定义的其他 IPv6 邻居正在按预期工作

条件：

• 已配置 IPv6 自有 IP
• 已配置的 BGP IPv6 邻居

解决思路：

1. 确认邻居请求消息正在通过数据包捕获传出 BIG-IP：
   tcpdump -s0 -vnni 0.0：nnn “ip6 protochain 58” -w /var/tmp/.pcap
2. 确认邻居请求消息是否通过数据包捕获到达 IPv6 邻居
3. 确认邻居通告消息正在通过数据包捕获传出 IPv6 邻居
4. 确认 BIG-IP 和 IPv6 邻居之间的流量不存在防火墙阻止

三、DOS问题：

由于当时受到单个用户同一源端口发的DNS包，高峰期在每秒125krps，这样流量户到同一个cpu 上造成设备性能支持不住。

关于F5