wireshark 相關提示,wireshark相關
wireshark 相關提示,wireshark相關
Packet size limited during capture
提示說明標記的包沒有抓全,在某些操作系統中,默認只抓96個字節,tcpdump中有“-s”參數可用於指定要抓的字節數,“-s 1500”即每個包可以抓1500個字節,‘-s 0’每個包有多少抓多少
TCP Previous segment not captured
表明有網絡包沒抓到,可能是抓包工具漏掉了,也可能是真的丟了。看對方回復的ACK即可知道,如果包括了對沒抓到的包的確認,那麼是抓包工具漏了,否則就是真的丟了
TCP ACKed unseen segment
ACK有抓到,但被ACK的包沒被抓到,wireshark上常有的事,可忽略。
TCP Out_of_Order
包亂序,在正常的情況下,一個包的seq等於上一個包的seq加上len,也就是說包的seq一定大於或等於上一個包的seq,當wireshark發現這個包的seq小於上一個包的seq的時候,就會標注 TCP Out_of_Order,即包亂序了。
跨度小的亂序沒事,跨度大的亂序可能引起重傳。
TCP Dup ACK
當亂序或丟包發生時,接收方會收到一些seq號比期待值大的包,接收方每收到一個這樣的包,就會重傳一次ACK,告訴發送方,自己的期待值。這樣的ACK包會被標注為 TCP Dup ACK
TCP Fast Retransmission
發送方收到3個或以上的【TCP Dup ACK】時,就意識到之前的包丟失了,就會觸發超時重傳
TCP Retransmission
如果一個包丟失了,但又沒發生【TCP Dup ACK】時,就無法觸發快速重傳,就只有等超時重傳了,重傳的包也就是TCP Retransmission
TCP zerowindow
TCP包中的win指發送方接收窗口的大小,當win=0時,wireshark就給包打上【TCP zerowindow】,表示緩沖區已滿,不能接收數據了。
TCP window Full
當打上這個標志時,表示發送方已經把接送方聲明的窗口大小耗盡了。即接送方聲明的win=65535,但現在在途字節數也已經有65535了。發送方停止發送數據。
http://xxxxxx/Linuxjc/1182077.html TechArticle