wireshark使用_使用Wireshark研究网络协议

最新推荐文章于 2023-08-05 17:20:25 发布
最新推荐文章于 2023-08-05 17:20:25 发布
阅读量1.8k 收藏
点赞数
文章标签: wireshark使用

常见的网络问题

小包问题也叫愚笨窗口综合症(Silly Window Syndrome)

常常会有这样的情况,应用层传递给TCP传输层的数据很小,要比TCP(20Bytes)+ IP(20Byte)头部的大小还要小,这样其实是一种浪费,我们把这样的问题叫愚笨窗口综合症,也叫小包问题。

延迟确认(Delayed ACK) 与 Nagle 算法

延迟确认是一种常见的TCP交互式场景策略,常见的例子(愚笨窗口综合症)就是SSH与远程服务器建立连接之后在命令行输入的每一个字母在发送方打开延迟确认的TCP选项之后,发送方发给接收方的网络包中如果除了确认收到报文之外没有什么信息需要回复给发送方,那么接收方就会等待一个超时的时间(TCP协议规定这个值应当小于500ms rfc1122 ,不同的操作系统中这个值有所不同)之后在回复确认报文。本质上是通过在网络信道中减少网络包的发送来优化网络。

Nagle算法是通过在发送方维护一个“buffer”,将发送包体大小积累到一个MSS之后发送网络包。

if there is new data to send then    if the window size ≥ MSS and available data is ≥ MSS then        send complete MSS segment now    else        if there is unconfirmed data still in the pipe then            enqueue data in the buffer until an acknowledge is received        else            send data immediately        end if    end ifend if

本质上也是通过在信道中减少网络包的发送数量来优化网络传输。

听起来两种机制都是没有什么问题的,都是在解决特定环境下的特定问题。但是如果发送方开启了Nagle算法与此同时接收方也开启了延迟确认,在发送方出现write-write-read这样的报文组合的时候就有可能出现等待到一个延迟确认超时时间后的网络等待。

如何解决延迟确认与Nagle算法冲突的问题

两种思路:

  • 在应用层,避免出现 write-wirte-read这样的网络调用
  • 在传输协议层,在发送方关闭Nagle算法机制或者在接收方关闭DelayACK

对于关闭DelayedACK:

TCP_QUICKACKtcp_delack_min
# echo 1 > /proc/sys/net/ipv4/tcp_delack_min

RHEL - realtime tuning - Reduce TCP Delayed ack timeout

对于关闭 Nagle 算法:

在TCP连接选项中选择 TCP_NO_DELAY

网络包重传

协议中的重传场景:

超时重传

出现拥塞,当发送方的原包发出后经过一个RTO的超时等待时间后就会重传这个网络包。

超时重传之后,拥塞窗口(发送窗口)的大小也需要调整,协议中建议 cnwnd = min ( traffic_in_flight / 2, 2)。

快速重传

如果接收方收到一组乱序的网络包,按照协议它应当连续发送3个重复ack,当发送方收到这样的ACK后需要启动快速重传机制。

具体细节详见下面wireshark抓包分析截图:

fafca24cb710166ff721d48f51fa452a.png

网络包乱序

接收方收到乱序包需要根据协议发送重复的3个ACK确认包,随后发送方会有快速重传的机制将接收方的ACK包重传,而无视RTO的超时限制。

细节参见上方快速重传Wireshark抓包分析截图。

网络传输慢速

慢启动与网络拥塞点

计划使用FTP协议传输大文件,进行网络抓包分析,得出类似下面的 time/sequence graph(steven):

// TODO

d218e7d4126b7dff3aab356ad77c6863.png
TCP发送窗口

LRO(Large Recieve offload)

WireShark 如何解决

查看超时重传的方法

Analysis -> Expert information

Note 类信息中Summary 部分为 “this frame is a (suspected) retransmission “

使用Wireshark自动分析

  • 查看分析的摘要信息
Analysis -> Expert information
  • 选定需要查看的TCP连接,查看TCP stream Graph 等统计信息
Statistics -> TCP Stream Graph

Time-Sequence Graph(steven)

有用的几个WireShark配置

常用的几个网络命令

  • 使用ICMP发送指定大小的网络包(macOS)
ping  -s  -D -c

其中 -D 参数表示 在 IP 包中flag设置中 DF(Don’t Fragment) 标志

  • WireShark中列出超过200ms的ack报文(查询疑似延迟确认报文)
tcp.analysis.ack_rtt>0.1 and tcp.len==0

文中名词解释

MSS(Maximum Segment Size)

TCP的3次握手会将双方的MSS值告诉对方,将MSS值加上TCP头和IP头的长度就知道了下面的MTU的大小。

MTU(Maximum Trasmission Unit)

MTU = MSS + TCP Head length(一般是20Bytes) + IP Head leagth(20Bytes)

通常的大多数网络中MTU的大小在 1500 Bytes,而开启了巨帧(Jumbo Frame)的网络MTU的大小在 9000 Bytes。

weixin_39646970
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络通信协议中使用wireshark分析ping报文
03-14
网络通信协议中使用wireshark分析ping报文
使用Wireshark嗅探器分析网络协议.pdf
01-23
使用Wireshark嗅探器分析网络协议.pdf
HTTP会话劫持被劫持的原理分析(转)
热门推荐
当今明月的专栏
09-25 1万+
现象描述 使用成都电信ADSL网络,浏览器使用Firefox 3.0.3, 安装了Google Toolbar工具。在Google Toolbar工具栏中输入任何搜索词,始终发现浏览器状态栏快速的闪动了一个非google的地址,然后又访问google网站返回搜索内容。仔细观察状态栏该地址,发现地址为”search.cninspirit.com”。把Google Toolbar各项设置重置已经
全网最全tcpdump和Wireshark抓包实践
青梅煮酒
06-08 3001
1、介绍wireshark的基本使用,涉及过滤器,抓包方式等 2、介绍tcpdump的基本使用以及参数说明
一次GET请求的抓包分析
dfq737211338的博客
08-05 340
在第二次握手后,客户端修改序列号Seq为第一次握手中Seq+1,确认号Ack为第二次握手中Seq+1,向服务端发送ACK确认标志,发起第三次握手。服务端收到客户端的诉求后,向客户端发送ACK应答标志,其中修改序列号Seq为第二次握手中Seq+1,修改确认号Ack为http数据包长度+1。客户端收到数据后,向服务端发送ACK应答标志,其中修改确认号Ack为上次Ack的值+上次收到的数据包长度Len。当建立了可靠的传输后,客户端向服务端表达了自己的诉求,需要访问一个网页。
Wireshark零基础入门到实战(一)基础篇
桑凯旋的博客
01-16 6177
文章目录1 认识Wireshark的界面1.1 初识Wireshark1.2 过滤器2 Wireshark的图形显示2.1 查看发包速度:I/O图表2.2 查看TCP往返时间2.3 数据流图:统计 -> 流量图3 Wireshark的高级特性3.1 手动修改协议类型3.2 跟踪TCP流3.3 统计数据包长度3.4 专家信息4 Wireshark的命令行模式 1 认识Wireshark的界面 1.1 初识Wireshark 这里我使用WLAN抓包如下所示: 我们以一个http协议为例,分析每一层字段
2017-2018-2 20155314《网络对抗技术》Exp4 恶意代码分析
axhc_chentao1981的博客
04-18 499
2017-2018-2 20155314《网络对抗技术》Exp4 恶意代码分析 目录 实验要求 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 静态分析 1.1 使用virscan进行特征库比对 1.2 使用PEiD进行外壳检测 1.3 使用PE explorer查看PE文件头中包含代码信息 1.4 使用Dependency Walker查看其依赖性、导入与导出模块 ...
redis返回的结果是null_记一次线上Redis故障恢复和分析(二)
weixin_39570530的博客
11-26 2615
异常场景最近一段时间时不时就有开发人员向我反应:redis的key有点问题,帮我删个key值、怎么key没有过期,我明明设了过期时间的。一开始没有放心上,以为只是程序逻辑处理不当或者redis偶尔抽风,不用在意。可是渐渐反应的人多了,觉得可能不是这么简单了,于是就和相关的开发人员讨论了下,发现会出现异常的基本是以下两种场景:使用redis 的 incrBy 命令来防止重复提交,大致的redis交互...
  使用tshark进行数据包分析
weixin_34106122的博客
03-06 3587
选项说明Options-r 读取数据包-C 选择对应的配置文件-d 解码为。。。-D 通过行进行打印输出-e 定义需要打印的行内容-E 定义具体的打印格式-T 定义具体的打印方式命令tshark-d <layer type>==<selector>,<decode-as protocol>tshark -r vmx.cap -d tcp...
WireShark数据包分析实战》二、让网络不再卡
上善若水,水善利万物而不争。
09-05 1万+
TCP的错误恢复我是我们定位、诊断、并最终修复网络高延迟的最好工具。1.TCP重传      重传数据包是TCP最基本的错误恢复特性之一,它被设计用来对付数据包丢失。     数据包丢失可能有很多原因,包括出故障的应用程序、流量负载沉重的路由器,或者临时性的服务中断。数据包层次上的移动速度非常快,而且数据包丢失通常是暂时的,因此TCP能否检测到数据包丢失并从中恢复显得至关重要。     决定是否有
网络分析工具Wireshark使用教程
03-23
网络分析工具Wireshark使用教程!Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark使用...
07-Wireshark_ICMP_Solution_July_22_2007_2007_wireshark_ICMP协议_源码
10-04
使用 wireshark工具抓包分析ICMP协议,实验答案。
Wireshark 网络包分析工具使用教程
05-05
Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 目录: 第 1 章 介绍 4 1.1. 什么是Wireshark 4 1.1.1. 主要应用 4 1.1.2. 特性 4 1.1.3. 捕捉多种网络接口 5 1.1.4. 支持多种其它程序捕捉的文件 5 ...
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
node-v12.11.0-darwin-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JSP网络购物中心毕业设计(源代码+设计说明书).zip
05-03
JSP网络购物中心毕业设计(源代码+设计说明书).zip
wireshark java_Wireshark使用
06-08
Wireshark是一款开源的网络协议分析工具,支持Windows、Linux和Mac等多个操作系统。它可以捕获和分析网络数据包,帮助用户了解网络通信的细节,包括协议、数据流和错误等。 Java_Wireshark是一个Java编写的Wireshark插件,可以在Wireshark使用Java代码来处理捕获的数据包。使用Java_Wireshark需要先安装Wireshark和Java,在Wireshark的插件管理中添加Java_Wireshark插件,然后在Java_Wireshark中编写自己的处理逻辑。 下面是一个简单的Java_Wireshark示例,用于计算HTTP请求的数量: ```java import org.wireshark.api.*; import org.wireshark.api.annotations.*; import org.wireshark.api.plugins.*; @WiresharkPlugin(name = "HTTP Request Counter") public class HttpRequestCounter implements IPlugin { private int requestCount = 0; @Override public void run(final IPluginContext context) { final IPacketListener listener = new IPacketListener() { @Override public void onPacket(final IPacket packet) { if (packet.hasProtocol("HTTP")) { requestCount++; System.out.println(String.format("HTTP requests: %d", requestCount)); } } }; context.addPacketListener(listener); } } ``` 这个例子中,我们使用Wireshark提供的IPacketListener接口来监听捕获的数据包,判断是否包含HTTP协议,并统计请求的数量。通过Wireshark的插件管理,我们可以将这个插件加载到Wireshark中,然后使用它来分析HTTP请求。 需要注意的是,Java_Wireshark是一个比较高级的功能,需要一定的Java编程经验和Wireshark使用经验。如果您不熟悉Java和Wireshark,建议先学习基础知识再尝试使用Java_Wireshark

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值