wireshark TCP常见异常报文分析

最新推荐文章于 2024-08-03 11:06:28 发布
最新推荐文章于 2024-08-03 11:06:28 发布
阅读量1.5w 收藏 99
点赞数 17
分类专栏: 流媒体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myvest/article/details/102639281
版权

流媒体播放中,常常需要借助wireshark从TCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。

乱序与丢包

1、[TCP Previous segment not captured]
[TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标志。
需要注意的是,[TCP Previous segment not captured]解析文字是wireshark添加的标记,并非TCP报文内容。

例子:
流媒体服务器39.135.135.81,端口80,发送序号Seq=147154的包,长度Len=1360,那么下一个数据包序号应该为Seq=147154+1360=148514,可以看到客户端请求的也是Ack=148514。而服务器下一个包序号为Seq=149874,中间的包丢失了。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20191019155025264.png

2、[TCP Out-Of-Order]
[TCP Out-Of-Order]指的是TCP发送端传输过程中报文乱序了。

例子:
继续上面的包分析,因为208142包序号为Seq=148514,而前一个序号为Seq=149874,故有此错误标志。
Seq=148514实际是208139包的响应,因为网络拥塞的情况下,TCP包不能按顺序到达,所以出现[TCP Previous segment not captured] 和 [TCP Out-Of-Order]标志。

3、[TCP dup ack XXX#X]
[TCP dup ack XXX#X]表示第几次重新请求某一个包,#前XXX表示第几个包(不是Seq),#后的X表示第几次请求。丢包或者乱序的情况下,会出现该标志。

例子:下图表示客户端一直请求101261的包。
在这里插入图片描述

重传

1、[TCP Fast Retransmission]
快速重传,一般快速重传算法在收到三次冗余的Ack,即三次[TCP dup ack XXX#X]后,发送端进行快速重传。
为什么是三次呢?因为两次 duplicated ACK 肯定是乱序造成的,丢包肯定会造成三次 duplicated ACK。
参考https://www.jianshu.com/p/4f2e412b0570

例子:
205113的包Seq=11154,重复请求4次后,发送端快速重传。至于为什么是4次,可能因为Ack包也有丢失。
在这里插入图片描述

2、[TCP Retransmission]
超时重传,如果一个包的丢了,又没有后续包可以在接收方触发[Dup Ack],或者[Dup Ack]也丢失的情况下,TCP会触发超时重传机制。

TCP超时重传参考https://www.cnblogs.com/duan2/p/9180861.html

例子:
在这里插入图片描述

TCP Window

1、[TCP ZeroWindow]
作为接收方发出现的标志,表示接收缓冲区已经满了,此时发送方不能再发送数据,一般会做流控调整。接收窗口,也就是接收缓冲区win=xxx ,告诉对方接收窗口大小。

例子:
传输过程中,接收方TCP窗口满了,win=0,wireshark会打上[TCP ZeroWindow]标签。
在这里插入图片描述
2、[TCP window update]
当接收端接收窗口大小发生变化,可以接收数据了,则有该标志。

例子:
接收方消耗缓冲数据后,更新TCP窗口,,可以看到从win=0逐渐变大,这时wireshark会打上[TCP window update]标签。
在这里插入图片描述

3、[TCP window Full]
作为发送方的标识,当前发送包的大小已经超过了接收端窗口大小,wireshark会打上此标识,标识不能在发送。

例子:
在这里插入图片描述

wusc'blog
关注
  • 17
    点赞
  • 99
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用wireshark分析tcp报文
海渊_haiyuan的博客
05-12 3万+
前言 TCP协议在网络过程中,是一个最常见不过的协议了。在分析tcp网络协议报文时,借助当前强力的工具wireshark可以起到很好的辅助作用。 首先抓取了一个简单的http请求报文, 选取其中的一次完整请求,追踪tcp流: 可以在报文中看到tcp的3次握手,以及http 的request 和 response ,还有tcp的4次断开。 另外整个封包列表的面板中也有显示,编号,时间戳,源地址...
WireSharkTCP解析
qq_42896037的博客
09-29 3052
文章目录三次握手详解SYN字段ACK字段第一次握手MSSWin和WS(window scale 窗口缩放因子)SACK_PERM第二次第三次握手数据传输过程四次挥手 三次握手详解 利用WireShark抓包,追踪流,抓取到一个会话的数据包。前三个TCP数据包对应了TCP建立连接的三次握手 上图为TCP报文段格式 SYN字段 SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首
wireshark学习笔记tcp抓包分析
刘璐菲
04-25 1517
1.wireshark概述 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息…… 【引用来源于百度百科】[https://baike.baidu.com/item/Wiresh...
[wireshark]IP头校验和错误的解决方案
wanggong_1991的博客
05-11 4401
Wireshark测试的时候发现了好多的包都被标记为 Bad Tcp 把包打开仔细查看后发现只有一个问题就是:header checksum == 0x0000 查阅了大量资料后发现原来是网卡的自动计算校验和在作怪。 网卡驱动的高级配置中,一般有两项叫做Rx Checksum Offload和Tx Checksum Offload 以win7为例,可以看下图所示: 其中的 “IPv4硬件校验和”即对应了这两个选项,它的可选项有“Rx & Tx 开启、Rx开启、Tx开启和关闭”四个。 默认的配置往往
TCP Analysis Flags 之 TCP Window Full
最新发布
7ACE的博客
08-03 1140
实际在 TCP 分析中,关于的定义非常简单,如下,为本端发送端所发的 TCP 段大小超过对端接收端的接收窗口大小,受到对端接收窗口大小的限制,需注意的是这个标记是在发送端标记,而不是在接收端标记。具体的代码如下,总的来说这段代码的作用是检测 TCP 数据流中的“窗口已满”情况,即当前数据段刚好达到接收端宣告的窗口边界,检测到这种情况时,会设置相应的标志以供后续处理使用。*/=-1if(!lastack,定义为 Last seen ack for the reverse flow。
使用wireshark分析tcp
标子 的专栏
06-25 1199
今天使用wireshark分析一下tcp的一些原理。首先我们建立一个tcp服务器。 const net = require('net'); net.createServer().listen(11111); 再建立一个tcp客户端。 const net = require('net'); net.connect({port: 11111, host: '192.168.8.226'}) 我们逐个情况分析。 1 不启动服务器,启动客户端。 我们看看这种情况下tcp的表现。先看看总览。 我们看到tcp
Wireshark 分析TCP 报文
dengjili的专栏
09-23 8240
Wireshark 分析TCP 报文段 使用wireshark这款软件来分析TCP包,TCP报文为了方便读者复现,直接使用官网提供的包文件说明 准备TCP分析报文wireshark官网下载TCP分析包:200722_win_scale_examples_anon.pcapng,使用wireshark打开200722_win_scale_examples_anon.pcapng,这里我们选择第4个TCP报文,数据长度len=6,这里主要是为了对应TCP 报文段的首部字段,任意选择也行 分析TCP报文
WireShark抓包分析TCP三次握手过程,TCP报文解析
wangyuxiang946的博客
09-20 2万+
使用WireShark工具抓取TCP协议三次握手的数据包,分析TCP三次握手过程,分析TCP报文中各个字段的作用。
CN_TCP_协议分析_wireShark分析报文(reserve+flags)
xuchaoxin1375的博客
12-12 6813
虽然通信的终点是应用进程,但我们可以把端口想象是通信的终点,因为我们只要把要传送的报文交到目的主机的某一个合适的目的端口,剩下的工作(即最后交付目的进程)就由 TCP 来完。4)TCP提供全双工通信,允许通信双方的应用进程在任何时候都能发送数据,为此TCP连接的两端都设有发送缓存和接收缓存,用来临时存放双向通信的数据。(只需将UDP伪首部的第4个字段,即协议字段的17改成6,其他的和UDP一样)。TCP是在不可靠的IP层之上实现的可靠的数据传输协议,它主要解决传输的。
TCP 报文-wireshark抓包常见提示含义解析
Kim_Weir的专栏
11-08 3932
wireshark抓包常见提示含义解析 1.[Packet size limited during capture] 当你看到这个提示,说明被标记的那个包没有抓全。以图1的4号包为例,它全长有171字节,但只有前96个字节被抓到了,因此Wireshark给了此提示。 图1   这种情况一般是由抓包方式引起的。在有些操作系统中,tcp
Wireshark协议分析TCP
马赛克的博客
03-13 961
一:前言 TCP的最终目的是为数据提供可靠的端到端传输,而且TCP能够处理数据的顺序并恢复错误,并且最终保证数据能够到达目的地。 TCP被认为是面向连接的协议。因为它在传输数据之前会事先发起一个正式的连接,用来追踪数据包的传递。 当传输要结束时,它会尝试正式地关闭会话通道 很多普遍使用的应用层协议,都依赖于TCP和IP将数据包传输到最终目的地 二:TCP报头 源端口(Source...
Wireshark数据抓包分析之传输层协议(TCP协议)
ChuMeng1999的博客
07-29 5658
从上面可以很容易的看出,70,73,74帧是tcp的三次握手,428,429,430,431帧是四次断开的数据。分为两部分,即TCP三次握手,四次断开的数据。启动Wireshark,在Filter中输入tcp,点击Apply会看到很多的数据包,这是因为测试环境中,有很多的应用程序,与其服务器连接,使用TCP协议。1024~65535是临时端口组(尽管一些操作对此有着不同的定义),当一个服务想在任意时间使用端口进行通信的时候,操作系统都会随机选择这个源端口,让这个通信使用唯一的源端口。...
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 9400
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
使用Wireshark抓包分析TCP协议
热门推荐
new9232的博客
04-17 2万+
wireshark数据包详细栏每个字段对应的分层。 分层介绍 数据链路层 我们点开这个字段,从该字段中可以看到相邻两个设备的MAC地址 网络层 本层主要负责将TCP层传输下来的数据加上目标地址和源地址。 传输层 这一层用到了TCP协议 tcp包头 每个字段对应的TCP包头 TCP握手过程分析 TCP三次握手示意图 第一次握手:客户端向服务器发送一个SYN段(表示发起连接请求),并且包含客户端的一个初始序列号seq。 第二次握手:服务端返回一个SYN(表示
WireShark TCP分析
Fly_鹏程万里
10-20 1610
TCP是一种面向连接的、基于字节流的、可靠的传输层通信协议,面向连接意味着使用TCP的应用程序在传输数据前必须先建立连接,就如打电话一样需要先进行拨号等待对方响应之后才能开始说话,字节流是指两个应用程序通过TCP连接交换8 bit字节构成的字节流,TCP对字节流的内容不作任何解释,它并不知道传输的数据字节流是二进制数据,还是ASCII字符或者其他类型数据,对于字节流的解释由TCP连接双方的应用层解释,TCP协议通过以下几种机制来提高可靠性:确认机制:TCP协议采用确认机制来确保数据的可靠传输,发送方在发送数
Wireshark中的TCP协议包分析
Q的博客
01-30 1656
4.第四次挥手(ACK=1,ACKnum=y+1):客户端接收到来自服务器端的关闭请求,发送一个确认包,并进入TIME_WAIT状态,等待可能出现的要求重传的ACK包。3.第三次握手(ACK=1,ACKnum=y+1):客户端再次发送确认包(ACK),SYN标志位为0,ACK标志位为1,并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方,并且在数据段放写ISN的+1。3.第三次挥手(FIN=1,seq=y):服务器端准备好关闭连接时,向客户端发送结束连接请求,FIN置为1。
Security ❀ TCP异常报文详解
无糖可乐没有灵魂
01-30 2246
TCP协议中seq和ack seq的联系:id=4的http请求报文由客户端发向服务器,其TCP协议内seq(由wireshark定义)=1,真实seq=2387613954(十六进制为0x8E501902),ack(由wireshark定义)=1,真实ack=3344080265(十六进制为0xC7529D89),客户端发送的下一个报文的seq=135(len+seq 134+1=135);
wireshark异常数据分析常见RST介绍
weixin_33716941的博客
04-13 2500
简介 Wireshark(前称Ethereal)是一个网络封包分析软件,可分析网路状态,丢包率等。 由于公司做的即时通讯业务,其中IM模块采用TCP发送数据和控制信令(心跳包)底层采用protobuf传输数据,音视频采用TRP协议,然后给大客户集团提供私有化部署,由于客户网络环境复杂,所以需具备一定的抓包分析能力。 下面介绍常见TCP层的常用FLAGS。 标志位 描述 SYN ...
wireshark打开tcp的包乱码
09-08
Wireshark打开TCP包时出现乱码可能是因为以下几个原因。 首先,可能是因为Wireshark没有正确解析TCP包的编码方式。TCP是一种传输层协议,它并没有定义数据的编码方式。它只是负责在网络上传输数据,不关心数据的内容。因此,Wireshark无法自动判断TCP包中的数据使用了什么编码方式,可能会导致显示乱码。在这种情况下,我们需要手动指定TCP包使用的编码方式,以便Wireshark能够正确解析并显示数据。 其次,乱码可能是因为TCP包中的数据本身就是使用了非ASCII字符编码的。TCP包中的数据可以是任意类型的数据,可能是文本、图像、音频等。如果TCP包中的数据是使用了非ASCII字符编码方式(如UTF-8、UTF-16等)的,而Wireshark没有正确解析这种编码方式,那么显示的就会是乱码。在这种情况下,我们需要手动指定TCP包使用的编码方式,并确保Wireshark支持该编码方式。 最后,乱码可能是因为Wireshark在解析和显示TCP包时发生了错误。Wireshark是一个复杂的网络分析工具,有时在解析和显示数据时可能会出现错误。这些错误可能导致数据显示为乱码。在这种情况下,我们可以尝试更新Wireshark的版本,或者寻求Wireshark的官方支持以获取帮助。 综上所述,Wireshark打开TCP包出现乱码可能是因为Wireshark没有正确解析编码方式、TCP包使用了非ASCII字符编码或者Wireshark自身存在错误。解决这个问题的方法包括手动指定编码方式、使用支持的编码方式、更新Wireshark版本或寻求官方支持。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值