记一次wireshark分析问题实战与总结

最新推荐文章于 2024-08-02 09:50:43 发布
最新推荐文章于 2024-08-02 09:50:43 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 网络实战 文章标签: 后端 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wengsuwei7683/article/details/109646671
版权
本文分享了一次使用Wireshark分析产品断连问题的过程。通过抓包发现,客户端A主动发送FIN报文导致断开,原因是心跳超时。分析还涉及到RST报文的场景,并探讨了在大量TCP连接下判断心跳超时的方法。
摘要由CSDN通过智能技术生成

本文选自本人微信公众号“码农的修炼之道”,欢迎关注!

作为一名后台软件开发者(coder),随时面临着复杂的网络原因导致的各类问题,排查问题也有一定的难度。好在有一把网络问题分析的屠龙宝刀,那就是wireshark神器,本文将举例使用wireshark分析一个产品的故障原因。

1、问题背景

某一天项目报了一个产品的现场问题,现场发现在早上8点~9点期间,该系统的A软件和另一侧系统的B软件不断的进行连接、断开。项目人员在这段时间内使用wireshark抓包发回来分析,在该项目中,A软件为客户端程序,B软件作为服务端。A软件需要连接B软件,并进行通信获取有效信息。于是,本次实战是基于这种断连场景的问题分析之旅。

根据项目反馈的配置信息,现场客户端A端的IP是10.255.68.42,服务器B端的IP是10.108.11.4,实时任务的端口是2608。在该产品的设计中,A端为客户端,B端为服务器端,采用的传统的C/S架构。

由于是反复断开、连接,因此我需要在wireshark抓包中看一下FIN报文有没有。于是使用过滤命令筛选如下:
tcp.flags.fin == 1 and (ip.dst == 10.255.68.42 and ip.src == 10.108.11.4) ;

我们发现,从服务器B端没有FIN报文发给客户端A。然后我们再看看是不是客户端A主动发起的断开连接,从而发送了FIN报文。

过滤命令如下:tcp.flags.fin == 1 and(ip.src == 10.255.68.42 and ip.dst&#

最低0.47元/天 解锁文章
yishuihan222222
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wireshark 网络层流量分析实战
悦分享
01-03 942
如果目标的MAC地址是未知的,则这个传输设备会首先在它的缓存中查找这个地址,如果没有找到,那么这个地址就需要在网络上进行额外的通信来进行解析了。在复杂的网络中,可能包含了成千上万的局域网,而这些局域网则是由世界各地成千上万的路由器连接起来的。在数据包细节窗口展开ICMPv6部分,显示这是ICMP 136类型的包,由2001:db8:1:2::1000回复至2001:db8:1:2::1003,并且包含着2001:db8:1:2::1000的MAC地址00:0c:29:1f:a7:55。
Wireshark 网络延迟排查实战
悦分享
01-04 1677
默认情况下,Wireshark使用的“自捕获开始经过秒数”,那么第一个捕获到数据包的时间值就是0.000000,所有其他的数据包都是参照第一个数据包定的,这样就是显示了从捕获开始所经过的时间。在对数据包进行分析的时候,时间是一个很重要的参考值。当在ARP缓存中没有找到地址时,则向网络发送一个广播请求,网络上所有的主机和路由器都接收和处理这个ARP请求,但是只有相同IP地址的接收到广播请求的主机或路由器,发回一个ARP应答分组,应答中包含它的IP地址和物理地址,并保存在请求主机的ARP缓存中。
WiFi----Wireshark抓包及分析说明
gege_hxg的博客
04-25 8143
wireshark 抓包使用手册 Wireshark 概述 Wireshark 软件是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包的详细信息。 通常在开发测试,问题处理中会使用该工具定位问题Wireshark 工具介绍: 2.1 Wireshark 界面介绍 注:说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示 2.1.1 过滤栏 Display Filter(显示过滤器), 用于设置过滤
这次我们来学习下Wireshark
最新发布
艰难的活着
08-02 1067
Wireshark是一款功能强大的网络协议分析工具,可以实时捕获和分析网络数据包。它支持多种网络协议,广泛用于网络故障排除、性能分析和安全分析Wireshark是一个功能强大的网络分析工具,适用于各种网络故障排除和安全分析任务。通过掌握基本和高级用法,你可以深入了解网络流量和协议,检测并解决各种网络问题。在使用Wireshark时,请确保在合法授权的情况下进行捕获和分析
wireshark分析——个人理解
hanqi94的博客
08-11 529
图中包组成有五个部分Frame、Ethernet II、Internet Protocol Version 4、Transmission Control Protocol、Data.Transmission Control Protocol(传输层):录源和目标的端口号,序列号和应答标志以及Data的数据长度。Internet Protocol Version 4(网络层):IPV4 源的IP地址和目标IP地址。Ethernet II(链路层):录着源的Mac地址,目标的MAC地址。......
抓包神器 Wireshark,帮你快速定位线上网络故障(3)
一猿小讲
12-23 2017
1复习:TCP 三次握手&四次挥手正式分享之前,先简单复习一下 TCP 的三次握手、四次挥手。TCP 通过三次握手建立连接(一图解千愁):TCP 协议通过四次挥手断开连接(一...
Wireshark抓包工具的使用
dap769815768的博客
04-01 828
对于网络请求相关的异常,抓包是一个很有效的方法,要习惯于抓包,而不是单纯地打印日志。日志能看到的是我们预想的,抓包抓到的则是意外的我们预想不到的。比如在实际生产中,常常出现程序异常崩溃的情况,这个时候往往日志是来不及录的,如果这个崩溃是网络请求导致的,这个时候你用抓包工具,就很容易定位到问题原因。比如之前我一个同事写的程序总是在服务器停止几秒钟后崩溃,我们看了所有的日志,研究了windows的日...
Wireshark 网络故障排查实战
悦分享
11-08 2953
按照DHCP协议的要求,客户端会在网络中广播“DHCP Discover”请求,用来寻找DHCP服务器,而当服务器收到这个请求之后,会用DHCP Offer来响应DHCP DISCOVER报文,此报文携带了各种配置信息。如果服务器正常工作,但是应用程序却是无法访问的,仅仅在客户端进行数据包捕获获取的信息可能并不足以找到故障的原因。好了,如果之前的检查都没有问题的话,那么从现在开始起,发出的数据包将远离我们,踏上去往目标服务器的路上,虽然不到一秒,但是这个数据包可能已经穿越了半个世界。
Wireshark 网络问题定位与排查企业级实战
悦分享
11-07 6647
让我们具体看一下重传、重复ACK和滑动窗口机制。下面是处理延迟问题的一些注意事项。1. 重传数据包发生重传是因为客户端检测到服务器没有接收到它发送的数据。因此,能否看到重传取决于你在分析通信的哪一端。如果你从服务器那端捕获数据,并且它确实没有接收到客户端发送、重传的数据包,那你将被蒙在鼓里,因为你看不到重传的数据包。如果你怀疑服务器那端受到了数据包丢失的影响,(可能的话)你应该考虑在客户端那边捕获流量以观察是否有重传数据包。2. 重复ACK数据包。
8.1.4 TCP 链接断开 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
本节将深入探讨TCP链接的断开过程,以及如何通过Wireshark数据包分析工具进行实战分析。 TCP链接的断开,通常称为TCP四次挥手(Four-way Handshake),这是因为断开连接的过程涉及到了四个TCP数据包。这个过程确保...
Wireshark抓包实战:TLS_SSL协议分析
Wireshark是一个开源的网络协议分析器,可以让你深入地查看网络中从网络上行驶的所有数据包,以及在多种网络协议下数据的获取和检查。Wireshark可以运行在多种操作系统上,包括Windows、MacOS和各种Linux发行版。 ...
排查C++软件异常的常见思路与方法(实战经验总结
热门推荐
dvlinker的技术专栏
10-06 3万+
在多年排查C++软件异常实践的基础上,系统地总结了排查C++软件异常的常见思路与方法,有较强的实战参考价值!
Wireshark进阶之网络问题案例分析
Mi1k7ea
10-24 9080
本文假定的基础是阅读者会使用Wireshark了,这里就对一些应用的场景以及一些不正常的网络环境来进行分析的案例~ 这里先列一下筛选器的语法: 过滤语法: 限定词 例子 Type host、net、port Dir src、dst Protocol ether、ip、tcp、udp、http、ftp 逻辑运算符:&&
ssh连接报错:Connection refused详细解决办法
天天开心鸭!
07-14 3万+
出现此报错,主要是有两个问题,第一就是没有安装ssh相关服务软件;第二是没有启动sshd服问题原因: 没有安装ssh相关服务软件; 没有启动sshd服务。 首先查看一下是否有安装提供sshd服务的软件 rpm -qa | grep ssh 如果没有,则需要安装 如果已经安装了提供sshd服务的软件,那么就是没有启动sshd服务。 此时先查看一下sshd服务的状态 systemctl status sshd 如果是dead的状态,说明没有启动sshd服务,那么就要启动sshd服务。 n
wireshark、异常数据分析、常见RST介绍
weixin_33716941的博客
04-13 2500
简介 Wireshark(前称Ethereal)是一个网络封包分析软件,可分析网路状态,丢包率等。 由于公司做的即时通讯业务,其中IM模块采用TCP发送数据和控制信令(心跳包)底层采用protobuf传输数据,音视频采用TRP协议,然后给大客户集团提供私有化部署,由于客户网络环境复杂,所以需具备一定的抓包分析能力。 下面介绍常见的TCP层的常用FLAGS。 标志位 描述 SYN ...
Wireshark抓包实验中遇到的问题汇总
KaSuo幻影的博客
04-13 5876
2. 虚拟机没网:(1)虚拟网络编辑器里面设置所选网络为NAT模式;(2)虚拟机设置里,网络适配器选择NAT模式;4. 抓包后地址显示的是IPv6地址,原因是双栈网络优先使用IPv6,这时如果需要捕获IPv4的数据包,可以设置优先使用IPv4。1. 如果打开Wireshark软件后不显示可捕获的接口,可能是权限问题,换成root用户重新打开Wireshark即可;(2)某些浏览器不支持将TLS中使用的公钥用日文件方式录,因此展示的数据包类型为TLS;(1)Wireshark不知道私钥,无法解析;
自己常用的wireshark过滤条件
weixin_30276935的博客
08-05 122
抓发给NVR的StrartRealPlay命令包: ip.src eq 118.123.114.8 and tcp contains 02:63:64:61 抓发给NVR的心跳包: ip.src eq 118.123.114.8 and tcp contains 01:63:64:61 转载于:https://www.cnblogs.com/matthew-2013/p/47039...
从keep-alive原理分析TCP游戏服务端心跳包的实用功能
august5291的博客
09-27 769
游戏服务器常常有心跳包的设计。我们的心跳包就是为了防止Socket断开连接,或是TCP的连接断开吗?答案是否定的,TCP连接的通道是个虚拟的,连接的维持靠的是两端TCP软件对连接状态的维护。TCP 连接自身有维护连接的机制,说白了就是自身有长时间没有数据包情况下的判断连接是否还存在的检测,清除死连接,即使在没有数据来往的时候,TCP也就可以(在启动TCP这个功能的前提下)自动发包检测是否连接正常,这个不需要我们处理。服务端设计心跳包的目的:探知对端应用是否存活,服务端客户端都可以发心跳包,一般都是客...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值