Packet size limited during capture 提示說明標記的包沒有抓全,在某些操作系統中,預設只抓96個位元組,tcpdump中有“-s”參數可用於指定要抓的位元組數,“-s 1500”即每個包可以抓1500個位元組,‘-s 0’每個包有多少抓多少 TCP Previous seg ...
Packet size limited during capture 提示說明標記的包沒有抓全,在某些操作系統中,預設只抓96個位元組,tcpdump中有“-s”參數可用於指定要抓的位元組數,“-s 1500”即每個包可以抓1500個位元組,‘-s 0’每個包有多少抓多少 TCP Previous segment not captured 表明有網路包沒抓到,可能是抓包工具漏掉了,也可能是真的丟了。看對方回覆的ACK即可知道,如果包括了對沒抓到的包的確認,那麼是抓包工具漏了,否則就是真的丟了 TCP ACKed unseen segment ACK有抓到,但被ACK的包沒被抓到,wireshark上常有的事,可忽略。 TCP Out_of_Order 包亂序,在正常的情況下,一個包的seq等於上一個包的seq加上len,也就是說包的seq一定大於或等於上一個包的seq,當wireshark發現這個包的seq小於上一個包的seq的時候,就會標註 TCP Out_of_Order,即包亂序了。 跨度小的亂序沒事,跨度大的亂序可能引起重傳。 TCP Dup ACK 當亂序或丟包發生時,接收方會收到一些seq號比期待值大的包,接收方每收到一個這樣的包,就會重傳一次ACK,告訴發送方,自己的期待值。這樣的ACK包會被標註為 TCP Dup ACK TCP Fast Retransmission 發送方收到3個或以上的【TCP Dup ACK】時,就意識到之前的包丟失了,就會觸發超時重傳 TCP Retransmission 如果一個包丟失了,但又沒發生【TCP Dup ACK】時,就無法觸發快速重傳,就只有等超時重傳了,重傳的包也就是TCP Retransmission TCP zerowindow TCP包中的win指發送方接收視窗的大小,當win=0時,wireshark就給包打上【TCP zerowindow】,表示緩衝區已滿,不能接收數據了。 TCP window Full 當打上這個標誌時,表示發送方已經把接送方聲明的視窗大小耗盡了。即接送方聲明的win=65535,但現在在途位元組數也已經有65535了。發送方停止發送數據。
