Wireshark抓包分析解决TCP滑动窗口机制问题

最新推荐文章于 2024-05-13 12:04:21 发布
最新推荐文章于 2024-05-13 12:04:21 发布
阅读量6.7k 收藏 9
点赞数
分类专栏: 抓包

文章来源:https://m.toutiaocdn.com/item/6696278587143619079/?app=news_article&timestamp=1564133671&req_id=20190726173430010027041153996E729&group_id=6696278587143619079

某天接到一线工程师反馈,用户在登录和使用某台server的远程桌面过程中延迟非常大,而连接其他的server正常。一线工程师已经做了以下尝试:

1 使用client去ping server,没有丢包,返回延迟比较小;

2 更换server至交换机的物理链路;

3 更换上行交换机;

一线工程师怀疑是server端的问题,但无法证明自己的推测,陷入了"我"为什么是"我"的死锁,甩锅也是需要强力证据来支撑的。一切展示给我们的故障现象,一定都隐藏在底层的错误积累。

一线工程师在Client端的汇聚交换机做了端口镜像,从Client端(A:172.16.26.107)分别mstsc正常Server(B:172.16.4.26)和非正常Server(C:172.16.0.105),并使用wireshark抓包。

说到wireshark说段有趣的事,wireshark的开发者在分析和排查网络的故障的时候,最初使用sniffer,后来sniffer收费了,换成我们可能第一反应是去"破解",但是开发者有版权意识:)自己开发并开源至今,当然如果对于英文不好,可以使用科来(基于wireshark内核)等国产的软件。

分析:1 SYN ---SYN,ACK---ACK,通过time的时间戳能看的出响应时间都很短,在0.001S左右,印证了网络质量没有问题。

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                            Server C抓包

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                               Server  B 抓包

2 在SYN,ACK时,C并没有携带WS(windows scale),导致在三次握手协商后,滑动窗口为分别为:64240,525568(Calculated windows size = windows size *Window size scaling factor)。其实到这里基本可以判断出故障的原因了:C由于没有开启Window scale,导致tcp协商时无法自动调节CWS,导致在交互过程中需要大量的ACK,影响了整体相应时间。我们对比以下用户认证的过程也可以看得出,B只需要3次交互,而C需要6次:

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                                            Server B 用户认证

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                                            Server  C用户认证

问题反馈给系统工程师,通过修改相应的参数,msrdp访问缓慢故障解决。

以下简单介绍本次用到的tcp三次握手中的几个参数:

1 TCP ACK的时候默认最大64240,我们姑且不扣除ip和tcp头部的20+20开销,那么这个值应该是65535=2^16,也就是每个窗口16bit,最大64k的速度,但由于现在网络带宽的大幅提升不足以支撑目前的需求,因此设计了options位的window scale来放大,由TCP发起端携带,如果发起端未携带,则被请求段不会携带该option位,本次是8=2^3,2^8=256倍:

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                                Window  Scale

Server在SYN+ACK同理如上:

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                      Server B Window Scale

3 Ack,Client端最终协商出滑动窗口:2053*256=525568远大于本次故障的64420;

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

                                         ACK window scale

wiresharkåæååæå©åç½ç»å·¥ç¨å¸ç©éãTCPæ»å¨çªå£æºå¶

 

 

 

 

 

 

 

白清羽
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制。 首先,让我们了解 Telnet 协议的基本概念。Telnet 是一个基于 TCP/IP 协议族的远程登陆服务协议,允许用户在...
wireshark系列(五)-根据滑动窗口过滤
ITdoggg的博客
07-08 278
文章目录场景操作 场景 有时间需要分析滑动窗口tcp.window_size也就是 [Calculated window size: 32768] 操作 随便找一个tcp数据包,然后打开头信息 选择[Calculated window size: 32768]选项
TCP协议之滑动窗口分析应用性能
yishuihan的博客
11-12 523
去年我师傅推荐了两本林沛满写的关于wireshark抓包的书,分别是《wireshark就是这么简单》和《wireshark分析的艺术》,写的真心不错。 TCP协议是一个很有意思的内容,这半年对TCP协议有了更多的认识,于是想重新更新一些对TCP协议的内容。今天先从TCP协议里面的滑动窗口说起。 1、先说原理 就发送端来说,一般如下所示: 主要分为:已发送已确认的包(应用层未读取)。发送未确认的包,未发送可发送的包,未发送不可发送的包。其中,滑动窗口指的是发送未确认和未发送可发送区域的大小。 2、滑动窗口
【网络安全 网络协议】结合Wireshark讲解TCP三次握手_抓包 tcp syn ack
最新发布
2401_84969915的博客
05-13 1017
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
网络分析系列之二十九_如何使用TCP数据流图形分析窗口大小
maimang1001的专栏
06-17 2502
网络分析系列之二十九_如何使用TCP数据流图形分析窗口大小 | 网深科技NetInside全流量回溯分析与性能管理https://www.netinside.com.cn/netanalyse/wireshark_tcp_window_analyse.html滑动窗口控制机制,是整个TCP协议工作的中控台或核心站。当TCP连接建立时,协议栈会为不同的连接划分出独立的缓冲空间,而在数据传输过程中,则存在复杂的传输控制过程。由于这个过程管理和处理的复杂性,很多性能问题往往就出现在这里。本节介绍如何使用Wires
Wireshark 让你看见 TCP 到底是什么样!
BASK2311的博客
11-29 2498
本文为掘金社区首发签约文章,14天内禁止转载,14天后未获授权禁止转载,侵权必究!当你看到这篇文章时,你只能看到已经渲染好的文字和图像,而网络数据的交互对我们来说,却是看不见的,所以学习计算机网络原理的时候就会觉得非常的抽象,这一度让我苦恼。而且网络数据交换真实的模样,到底是不是真的如大多数文章所描绘的一样?这些疑问让我早就想干这件事了。所以不如就去看看离我们最近的协议 到底长什么样?为了能“看见”,我们需要借助 Wireshark 分析网络的利器。Wireshark 是 Windows 最常用的网络抓包
Wireshare抓包分析TCP协议
qq_35337506的博客
03-11 1799
Wireshare抓包分析TCP协议
tcp.rar_c语言编程_tcp_tcp 抓包_抓包_抓包分析
09-23
通过学习这个资源,你不仅可以掌握C语言编程技巧,还能深入了解TCP协议的工作流程,包括三次握手、四次挥手、拥塞控制、滑动窗口机制等核心概念。此外,对于网络故障排查和性能优化来说,掌握抓包分析技巧是必不可少...
实验8 Wireshark工具的使用与TCP数据包分析实验.pdf
12-09
在与Fiddler的比较中,Fiddler专注于HTTP和HTTPS协议的抓包,而Wireshark则更为全面,除了HTTP和HTTPS外,还可以捕获TCP、UDP等其他协议。但需要注意的是,Wireshark无法解密HTTPS,因此对于加密的HTTPS流量,其解析...
wireshark抓包查看各类协议
05-12
分析TCP包可以帮助我们诊断拥塞、延迟和丢包等问题。 最后,ARP(Address Resolution Protocol,地址解析协议)是将IP地址映射到MAC地址的协议。在Wireshark中,使用`arp`过滤器可以查看ARP请求和应答,这有助于...
TCP UDP抓包 发送TCP UDP报文
12-21
3. 流量控制:使用滑动窗口机制来控制发送速率,防止接收方无法处理过多的数据。 4. 拥塞控制:当网络拥塞时,TCP会减缓数据的发送速度,以减少拥塞。 相比之下,UDP(User Datagram Protocol)是无连接的、不可靠...
wireshark抓包分析过程
05-06
通过wireshark抓包分析http数据包 解析帐号密码通
18.TCP协议-滑动窗口(抓包分析)
写后端的小学生
06-14 1188
滑动窗口(抓包分析)
超详细的wireshark笔记(3)-TCP窗口和TCP重传
weixin_46622350的博客
05-29 2015
假如你是一位勤劳的快递员,要送100个包裹到某公司去,怎样送货才科学? 最简单的方式是每次送1个,总共跑100趟。当然这也是最慢的方式,因为往返次数越多,消耗的时间就越长。除了需要减肥的快递员,一般人不会选择这种方式。 最快的方式应该是一口气送100个,这样只要跑一趟就够了。可惜现实没有这么美好,往往存在各种制约因素:公司狭小的前台只容得下20个包裹,要等签收完了才能接着送;更令人郁闷的是,电瓶车只能装10个包裹。综合这两个因素,不难推出电瓶车的运力是效率瓶颈,而前台的空间则不构成影响。 ...
实验7 利用Wireshark软件分析TCP
qq_53401568的博客
11-27 1万+
“利用Wireshark软件分析TCP”的实验内容
网络基本功(二十六):Wireshark抓包实例分析TCP窗口及reset
热门推荐
mxway的专栏
03-14 1万+
网络基本功(二十六):Wireshark抓包实例分析TCP窗口及reset   转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese    介绍   TCP最重要的机制之一是滑动窗口机制,以及用以控制TCP终端节点愿意接收的数据总量的流控机制TCP reset可以在几种情况下被发送。有一些是协议的正常工作
wireshark学习——9.tcp窗口
WY_记录
08-09 1004
步骤2:TCP知识的补遗 在讲解TCP窗口的知识之前,关于TCP数据包还有几个知识点是需要补充讲解一下的。这里我们打开实验文件Lab9-1.pcap: Alt text 在之前的课程中我曾经讲过,TCP提供有序的数据传输,因此每个数据段都要标上一个序列号,也就是Seq的值。这样当接收方收到乱序的数据包时,就可以根据这个序列号进行重新排序了。这里我们并不需要知道Seq的起始值是怎么计算的,但是...
wireshark tcp抓包分析_tcp传输窗口解析——借助wireshark深入分析
weixin_39978282的博客
12-10 762
tcp传输窗口解析——借助wireshark深入分析tcp传输报文时,会有“往返”的需要。因为发包之后并不知道对方能否收到,要一直等到确认包到达,这样就花费了一个往返时间。假如每发一个包就停下来等确认,一个往返时间里就只能传一个包,这样的传输效率太低了。最快的方式应该是一口气把所有包发出去,然后一起确认。但现实中也存在一些限制:接收方的缓存(接收窗口)可能一下子接受不了这么多数据;网络的带宽也不一...
一站式学习Wireshark(五):TCP窗口与拥塞处理
weixin_30653097的博客
06-24 746
https://community.emc.com/message/821593#821593 介绍 TCP通过滑动窗口机制检测丢包,并在丢包发生时调整数据传输速率。滑动窗口机制利用数据接收端的接收窗口来控制数据流。 接收窗口值由数据接收端指定,以字节数形式存储于TCP报文头,并告知传输设备有多少数据将会存储在TCP缓冲区。缓冲区就是数据暂时放置的地方,直至传递至应用层协议等待...
wireshark抓包分析tcp
07-28
Wireshark是一款网络抓包工具,可以用来捕获和分析网络数据包。通过Wireshark抓包,我们可以获取到TCP/IP协议的数据包,并进行深入分析。 首先,我们需要确认我们要抓包的目标网站的IP地址,可以使用nslookup命令来查看。这是为了分析TCP连接时的源IP和目的IP。然后,我们可以使用ping测试工具或者直接在浏览器中打开目标网站,等待页面响应后立即停止Wireshark抓包。这样我们就可以查看抓到的数据包了。\[1\] 在Wireshark的主页上,我们会看到一堆捕获的包,但并不是所有的包都有用。因此,我们需要过滤掉无用的包。在过滤框中输入过滤条件,比如"ip.addr==目标IP地址 && tcp",然后按下Enter键就可以过滤出我们需要的包了。\[3\] 如果我们想分析TCP的三次握手过程,我们需要找到三次握手的包。首先,我们发送的第一个包是SYN包,所以我们可以找到SYN包。要注意检查源IP地址和目的IP地址是否一致。我们可以查看源和目的下面的项,包括Protocol、Length和Info的内容。\[2\] 通过Wireshark抓包分析数据包,我们可以更深入地理解TCP/IP协议,并提高理论联系实践的能力。 #### 引用[.reference_title] - *1* *3* [wiresharktcp包并分析](https://blog.csdn.net/Whoo_/article/details/121627530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Wireshark抓包——TCP协议分析](https://blog.csdn.net/fortune_cookie/article/details/89632006)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值