linux ucdup抓包,记一次 tcpdump 抓包分析,Dup Ack

最新推荐文章于 2023-02-22 09:52:50 发布
最新推荐文章于 2023-02-22 09:52:50 发布
阅读量405 收藏
点赞数
文章标签: linux ucdup抓包

起因是 docker pull 镜像时有时卡住,然而 registry 一切正常,无奈只好一试抓包。

抓包命令

tcpdump -n -i en0 host 10.116.58.41 -w pull.pcap

参数说明:

-n 不转换 ip 地址为 hostname

-i 网卡

host 过滤条件,抓符合 host 地址的包

-w 将抓包结果保留到文件

分析

先将抓包文件下载到本机,然后用 wireshark 打开。

发现一大片的 Dup Ack,这是咋回事???

3e27a14121dc836d95e6354c0814fcf0.png

经过几番查找,终于知道是为啥。不过这得从 tcp 协议得传输过程讲起:

下文的 sender、receiver 分别代表数据的发送方和接收方。在此处 registry 即为 sender,docker client 为 receiver。

在建立 tcp 链接协议后,sender 开始发送数据,receiver 接收到数据后会给 sender 发送确认的包。通常传输的数据较大,tcp 会将其分片传输,并且数据包是顺序发送的,每一个数据包都会有相应的序号 Seq。如果 recevier 发现收到的数据包的 Seq 不对,则会抛弃该包,并且给 sender 发送前一个确认包,此时确认包的 Ack 跟上一个相同,故为 Dup Ack。

d046569cf221cfe218befdb91b133fb3.png

receiver 的确认包的 Ack 计算公式如下,而该 Ack 也是 sender 下一个数据包的 Seq

Ack = Seq + Bytes of date received

# Seq 为 sender 发送的数据包的报文 Seq

这个值在 wireshark 查看这个很方便,会自动帮我们计算出来,如图:

9d44c7fb449d5f98b6b8f7ca79e1d375.png

进一步分析发现,Dup Ack 通常以一个 Fast Retransmission 结束,然后恢复正常。这是什么原理呢?

2ff0c40fc787829fb2467bc9c6177a48.png

这是因为 sender 在收到超过 3 个相同的 Ack 时,此时 sender 认为 receiver 没有收到相应的包,快速再次发送此丢失包则为 Fast Retransmission。

那为何是有个 Fast 呢?

在 sender 发送一个包后,如果超出一定时间没有收到返回的确认包 Ack,sender 则认为 receiver 没有收到,再次发送此包即为 Retransmission。而 Fast Retransmission 是 sender 收到超过3个相同的 Ack 包时立即发出,可能还没有到超时时间,故 Fast 。

嘛。。。知道来 Dup Ack 和 Fast Retransmission ,那我们的网络是啥问题呢?

首先,有太多的 Dup Ack,说明丢失很多的 sender 的包,网络肯定有问题,不太好。但具体是啥问题,我已经无能为力了。。。。

pk2017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcpdump 抓包分析
Follow your heart
02-08 1227
tcpdump 抓包分析   1 tcpdump 与 wireshark     tcpdump抓的包内容可以用wireshark进行解析,如:         $> tcpdump -c1000 -w /tmp/tcpdump.test.cap          $> sz /tmp/tcpdump.test.cap #将抓到的包内容下载到本地     wireshark是开源软
TCP DUP ACK抓包分析
造梦先森Kai的专栏
05-09 2万+
vm client:172.18.21.57 vm server:172.18.42.13 在 vm client 执行 wget 从 server 下载文件 并进行抓包分析: 1, No.50 为server发送的数据,收到了Seq=113587,Ack=660, Len=2576。 那么client回复的Ack=113587+2576=116163. 即No.51, Seq=660,Ack=116163, Len=0 2, 同时116163也是期望的下一个数据的Seq. 即收到了No.52, Se
TCP报文( tcp dup ackTCP Retransmission)
我的LOG
10-16 3万+
TCP 报文 tcp dup ackTCP Retransmission,快速重传,超时重传
TCP报文( tcp dup ackTCP Retransmission)
神棍之路
02-22 9840
最近因使用FTP 上传数据的时候总是不能成功,抓包后发现 TCP 报文出现与两种类型的包。收集整理下。
主备模式,备机ping主机每隔一段时间会有几分钟回包dup ack的问题
qq_42896627的博客
12-29 924
现场问题排查录: 现场反映的问题,每天早上会有部分用户正常认证成功,但是第三方无上线信息,导致无法访问外网,日志排查发现有个模块没有将登录信息发送到后台 现场服务是主备模式的。后台的服务有一个模块是用来转发数据库通知给其他模块的。现在我们去查看负责转发模块的日志发现备机的转发模块每隔四小时和主机的其他模块断开连接一次,每次持续几分钟,几分钟后重新建立连接,在断开连接的时间点如早上9点,部分用户认证成功,但是这时候断开连接了,转发模块没有将信息发出去通知其他模块。怀疑是网络问题,让现场同事在断开连接的时间点
Wireshark TS | 消失的 TCP DUP ACK
7ACE的博客
11-05 1933
Wireshark TS | 消失的 TCP DUP ACK
Linux基础学习之利用tcpdump抓包实例代码
09-15
tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的wireshark抓包工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。下面这篇文章主要给大家介绍了关于Linux基础学习之利用...
linux抓包tcpdump
01-21
linux抓包
linux系统下使用tcpdump进行抓包方法
09-15
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行抓包的方法和相关知识点,需要的朋友们学习下。
Linux下使用tcpdump抓包的实现方法
01-11
tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的wireshark抓包工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。 1、安装tcpdump yum install -y tcpdump 2、常见的...
Linux 命令行中使用 tcpdump 抓包的一些功能
09-15
tcpdump 是一款灵活、功能强大的抓包工具,能有效地帮助排查网络故障问题。接下来通过本文给大家介绍在 Linux 命令行中使用 tcpdump 抓包的一些常用功能,需要的朋友参考下吧
TCP报文之-tcp dup acktcp Out-of-Order
热门推荐
chenfengdejuanlian的专栏
12-20 15万+
使用WireShark抓包,选择TCP报文,TCP是一种安全的协议,在网络出现状况时也能安全稳定的传输数据,但是在网络出现问题时tcp报文中会有很多中情况导致报文重传或者是重组。现在就在报文中遇到的几个问题来详细说明一下。 WireShark出现的常见提示 TCP Out_of_Order的原因分析: 一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为
如何判定一个TCP应答包为dupack
程序猿Ricky的日常干货
12-28 1502
首先需要明白TCP包中的sequence和ack sequence的含义: 1.sequence·是表示发送方的当前包的起始数据序列号 2.ack sequence则是表示对接收方的应答序列号,它是指对方下一个包要使用的起始sequence。(上一接收包的sequence加上len之后的值) 那么再来看什么是dupack,它是为了快速重传机制而发送的重复确认包,那么是不是说只要发送包中的ack sequence一直相同就表示它是一个dupack呢,并且会触发重传机制? 实际上并不是如此,试想一下,当发送方A
关于抓包出现TCP DUP ACK问题
伍意的博客
06-19 10万+
 最近在跟一个CDN服务器端做对接,从CDN服务器下载内容(http),发现抓包出现非常多的Tcp Dup Ac​k异常提示。通过查阅质料得知Tcp Dup Ack xxx#y 代表了数据段丢失TCP状态,xxx代表数据丢失的位置,#后代表第几次丢失文。然后我我又再看了下报文,的确是2次数据发送到我这边,我才回复一次ack,但是这个ack回复是正确的。     对比对接其他地方的CDN的抓
tcp retransmission dup ack 偶尔_TCP重传问题的排查思路与实践,有点干货
weixin_28722991的博客
01-26 3437
1、关于TCP重传TCP有重传是正常的机制,为了保障数据传输可靠性。只是局域网环境,网络质量有保障,因为网络问题出现重传应该极低;互联网或城域网环境,线路复杂(可以想象下城市地下管网,错综复杂的电线杆等),网络质量不好保障,重传出现概率较高。TCP有重传,也不一定是网络层面的问题。也可能是接收端不存在,接收端receive buffer满了,应用程序有异常链接未正常关闭等等等。2、TCP/IP相关...
快速重传与快速恢复
null_zhouximin的博客
03-14 1346
快速重传与快速恢复快速重传快速恢复算法 快速重传 在超时重传中,重点是定时器溢出超时了才认为发送的数据包丢失,快速重传机制,实现了另外的一种丢包评定标准,即如果我连续收到3次dup ACK,发送方就认为这个seq的包丢失了,立刻进行重传,这样如果接收端回复及时的话,基本就是在重传定时器到期之前,提高了重传的效率。 如果只出现两次dup ACK 我们可能会认为只是失序如果收到一个out-of-order的报文段时, TCP需要立刻产生一个ACK。所以收到3个dup ACK 或者以上我们就会认为是丢失了。 在传
TCPACK/DUPACK
Ming的博客
05-20 4658
RFC中ACK/DUPACK的说明如下: The delayed ACK algorithm specified in [RFC1122] SHOULD be used by a TCP receiver. When using delayed ACKs, a TCP receiver MUST NOT excessively delay acknowledgments. S...
Tcp Dup ACK--又是数据库的问题
weixin_34346099的博客
06-12 2221
为什么80%的码农都做不了架构师?>>> ...
TCP系列17—重传—7、SACK下的重传
maimang1001的专栏
08-31 661
原文:https://www.cnblogs.com/lshs/p/6038555.html 我们之前介绍SACK选项的时候说过,SACK可以把接收端系列号空间的洞反映给发送端,因此发送端可以更充分的理解接收端的情况,而进行更好的重传恢复过程。这种过程有时候也叫做advanced loss recovery。 一、数据接收端SACK行为 我们通过一个wireshark示例来说明接收端的SACK行为: 如上图,为了方便在info列中查看SACK信息,我把info列中TSopt的信息隐藏了,同时
linux使用tcpdump抓包
最新发布
09-07
Linux系统中,tcpdump是一个开源的抓包工具,用于查看各个系统之间发送的数据报文。可以使用tcpdump来抓取所有的包,也可以使用过滤条件来选择特定的包。例如,可以使用命令"tcpdump 'tcp[tcpflags] == tcp-ack'...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值