【6月19日-技术盲盒】Wireshark的常见提示2

提示七：[TCP Fast Retransmission]

此提示说明数据包快速重传，当发送方收到3个及3个以上的“TCP Dup ACK”时，就意识到之前发的包可能丢了，于是快速重传。具体示例如下图所示。当服务器端收到3个“TCP Dup ACK”，于是在1177号包重传了Seq等于991851。

注：快速重传机制，实现了另外的一种丢包评定标准。当接收方一连收到三个重复的ACK，那么发送方不必等待重传定时器到期，尽早重传未被确认的报文段。

提示八：[TCP zerowindow]

此提示说明接受窗口为0，缓存区已满，不再接受数据。“win=”表示这个包的发送方还有多少缓存区可以接受数据。“Win=0”表示缓存区已满，告知对方自己不再接受数据。具体示例如下图所示。

提示九：[TCP window Full]
此提示说明发送窗口已满。具体示例如下图所示。表示包的发送方已经把对方所声明的接受窗口耗尽，暂时无法再发送数据。

注：在途字节数（Bytes in flight）等于对方的接受窗口，表示发送方已经发送数值，减去对方最近的一次确认数值，等于确认了多少数值。也就是等于Seq加上Len等于Ack，即最近的一次Ack。以下2个字段意味着传输暂停，都需引起重视。

TCP zerowindow：表示这个包的发送方暂时无法接受数据。TCP window Full：表示这个包的发送方暂时无法发送数据

提示十：[TCP segment of a reassembled PDU]

此提示说明重组PDU的TCP协议分段。表示Wireshark可以把属于同一个应用层PDU的TCP包虚拟的集中起来。具体示例如下图所示，需要在软件中设置，选择 Edit > Preferences > Protocal > TCP，确认启用“Allow sub dissector to reassemble TCP streams”，ACK确认包号是相同的。

提示十一：[Continuation to #X]

此提示表示关闭了“Allow sub dissector to reassemble TCP streams”，按照实际情况开启即可。

提示十二：Time-to-live exceeded (Fragment reassembly time exceeded)

此提示说明超出TTL生存时间，即超出碎片重组时间。表示这个包的发送方之前收到了一些分片，但是由于某些原因迟迟无法组装起来。具体示例如下图所示，由于上海发往北京的一些包被分片传输，且有一部分在链路上丢失。因此北京无法组装起来，只能使用这个ICMP报错告知对方。