【6月17日-技术盲盒】Wireshark的常见提示

抓包分析中Wireshark常见的一些提示1提示一：[Packet size limited during capture]

1. 此提示说明被标记的包信息没有完整的获取，一般是由于抓包方式引起。如下图所示，全长有171字节，但只获取到前96个字节。

2. 某些OS系统中，tcpdump只抓每个帧的前96字节，一般可以用“-s”参数指定想要抓的字节数。如以下命令所示。

tcpdump -i eth0 -s 1000 -w tcpdump.cap

提示二：[TCP Previous segment not captured]

1. 此提示说明未捕获TCP协议之前的分段，抓取的数据段缺失。一般是由于丢包或者抓包工具漏掉导致。具体示例如图所示。

2. 使用TCP协议传输过程中，同一台主机发出的数据段应为连续的，即后一个包的Seq等于前一个包的Seq加Len，而对方的Ack等于发送方刚发的Seq加Len，三次握手和四次挥手例外。如果后一个包的Seq大于前一个包的Seq加Len，就可以清楚中间缺失了一段数据。如果在整个网络包中排除乱序，就会提示“TCP Previous segment not captured”。判断是否遗漏还是丢包，看回复方的Ack，如果包含没抓到的，可能抓包工具漏掉。

提示三：[TCP ACKed unseen segment]

1. 此提示说明被Ack的包的没有被抓到，此提示可能是最常见的Wireshark提示，几乎可以永远忽略。具体示例如图所示。

2. 上图中32行的信息Seq加上Len的值为6889加1448等于8337，服务器下一个包应该是Seq等于8337，但是35行是11233，说明8337~11232这段没有抓到信息，只抓到后面的Ack没抓到前面数据包。8337~11232这段信息理应出现在34行之前。

提示四：[TCP Out-of-Order]

1. 此提示说明数据包乱序，当Wireshark发现后一个包的Seq小于前一个包的Seq加Len，则会被认为是乱序。具体示例如下图所示。

2. 小跨度的乱序影响不大，比如原本1、2、3、4、5被打乱成2、1、3、4、5。但跨度大可能会触发快速重传，比如打乱成2、3、4、5、1，就会触发足够多的“Dup ACK”，从而导致包重传。

提示五：[TCP Dup ACK]

此提示说明出现重复的Ack。当乱序或者丢包时，接受方收到一些Seq比期望值大的包。每收到一个这种包就会回应一次期望的Seq值，依次提醒发送方，因此会产生重复的Ack。具体示例如下图所示。

提示六：[TCP Retransmission]

此提示说明数据包进行重传，如果一个包丢失，又没有后续包可以在接收方触发“Dup ACK”，就不会快速重传。这种情况发送方只能等到超时重传。具体示例如下图所示，客户端发了1053号原始包，一直等不到对应的Ack，于是只能在100多毫秒之后重传1225包。

注：TCP为可靠传输，通过在发送时设置一个定时器来解决数据包确认问题。如果当定时器溢出时还没有收到确认，它就重传该数据。对于重传时间是如何计算的问题，在RFC2988中也提供了一种Linux至今都在使用的方案。详细介绍可以参考文档TCP-IP详解中的RTT和RTO。