Wireshark抓包 [Tcp Previous Segment Not captured][Tcp Out-Of-Order][Tcp Spurious Retransmissiion]

最新推荐文章于 2024-05-17 17:04:19 发布
最新推荐文章于 2024-05-17 17:04:19 发布
阅读量1.5w 收藏 63
点赞数 9
文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbaolin/article/details/125610388
版权

Wireshark抓包时,除了TCP协议的三次握手建立连接、数据收发和四次握手断开连接外,还经常能看到如下几种不太常见的报文,具体包括:

1.Tcp Previous Segment Not captured

2.Tcp Out-Of-Order

3.Tcp Dup Ack 12345#1

4.Tcp Spurious Retransmissiion

5.Tcp Retransmission

其中1、2、3会相伴出现,3、4、5会相伴出现。对应第一种情况是由于由于TCP数据被分块后,传输过程中经过不同的路径,到达目的端时乱序,出现后发而先至的情况,此时目的端会显示【Tcp Previous Segment Not captured】,并且用【Tcp Dup Ack 12345#1】对前一个包再次进行确认,先发而后至的包到达目的端时,会显示【Tcp Out-Of-Order】;对应第二种情况是由于网络不稳定,源端发送数据后,目的端进行了确认,但源端并未在规定的时间内收到确认,所以会重新发送,目的端对重新发送的报文会显示为【Tcp Spurious Retransmissiion】,并且用【Tcp Dup Ack 12345#1】确认。这两种情况出现属于正常情况,TCP的超时重传机制和乱序重排可以保证TCP的按序可靠传输。

下面以具体的抓包数据进行说明。

从98522~98527是第一种情况的完整再现,具体包括:

1)98522是建立SSL过程中服务端到客户端的Server Hello报文,具体如下图:

发送报文序列号为1,报文长度为1424,确认对端的214发送序列号

2)98523是客户端对前一个报文的确认,具体如下图:

3)98524是后发而先至的报文,具体如下图:

很显然,客户端期望确认的序号是1425,实际收到的报文开始序列号为2849。在1425~2848之间的报文还未到达

4)98525是客户端对乱序的应答,具体如下图:

由于客户端并未收到至2849的完整报文,重复对98523的报文,仅对98522报文进行确认

5)98526是先发而后至的报文,具体如下图:

本报文就是98525期待的报文,这样客户端收到至2848的所有报文。用【Tcp Out-Of-Order】显示

从15774~15840是第二种情况的完整再现。

1)15774是服务端发送的请求修改密码算法的报文,具体如下图:

报文起始序列号是3589,同时对上一个报文数据的确认

2)15775是客户端发送SSL密文,具体如下图:

本报文其实序列号是367,同时对15774进行确认(3640)

3)15816是重传报文。服务端未收到15775 的确认,所以重传15774报文,具体如下图:

可以看到跟15774报文完全一致。客户端因为已经对该包进行了确认,确认后又收到重传报文,所以显示【Tcp Spurious Retransmissiion】

4)15817针对这样一种情况,返回与15775同样的确认,具体如下图所示:

5)15823是因为未收到服务端对15775的确认而重新发送15775报文,具体如下图所示:

可以看到与15775完全一致

6)15840是服务端对客户端重传的15823报文的确认

zhangbaolin
关注
  • 9
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
TCP报文之-tcp dup ack 、tcp Out-of-Order
05-07 8604
使用WireShark抓包,选择TCP报文,TCP是一种安全的协议,在网络出现状况时也能安全稳定的传输数据,但是在网络出现问题时tcp报文中会有很多中情况导致报文重传或者是重组。现在就在报文中遇到的几个问题来详细说明一下。 WireShark出现的常见提示 TCP Out_of_Order的原因分析: 一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的电脑上面。 TCP Retransmission原因分析: 很明显是上面的超时引发的数
TCP Analysis Flags 之 TCP Previous segment not captured
最新发布
7ACE的博客
07-10 921
TCP Analysis Flags 之 TCP Previous segment not captured
wirshark的一些提示
weixin_45045419的博客
01-04 953
此提示说明数据包进行重传,如果一个包丢失,又没有后续包可以在接收方触发“Dup ACK”,就不会快速重传。具体示例如下图所示,客户端发了1053号原始包,一直等不到对应的Ack,于是只能在100多毫秒之后重传1225包。此提示说明数据包快速重传,当发送方收到3个及3个以上的“TCP Dup ACK”时,就意识到之前发的包可能丢了,于是快速重传。具体示例如下图所示。注:在途字节数(Bytes in flight)等于对方的接受窗口,表示发送方已经发送数值,减去对方最近的一次确认数值,等于确认了多少数值。
【原创】抓包分析之 “TCP Previous segment not captured”
热门推荐
weixin_34319374的博客
12-12 5万+
2019独角兽企业重金招聘Python工程师标准>>> ...
Wireshark TS | TCP Previous Segment Lost
7ACE的博客
09-16 1699
Wireshark Troubleshooting 系列 | TCP Previous Segment Lost
TCP协议之《乱序队列Out-Of-Order
C/C++编程指南
08-10 2198
TCP协议之《乱序队列Out-Of-Order
TCP乱序队列(Out-Of-Order
redwingz的博客
03-26 3万+
乱序的数据包被保存在TCP套接口的out_of_order_queue队列中,以红黑树组织,套接口成员ooo_last_skb缓存了此红黑树的最后一个成员,方便内核后续添加新的成员。 struct tcp_sock { /* OOO segments go in this rbtree. Socket lock must be held. */ struct rb_root ...
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark抓包分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
Wireshark抓包分析TCP IP协议
05-03
能够使用抓包工具捕获网络中的数据包,对捕获的数据包进行筛选分析... 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
07-08
(2)为什么我们抓包抓到的不是“四次挥手”,而是“三次挥手”呢?这里涉及到 LInux 的 TCP 时延机制,当被挥手端(这里是 12672 端口)第一次收到挥手端(这里是 443 端口)的“FIN”请求时,并不会立即发送 ACK,...
TCP协议调优-强制快速重传技术(Spurious retransmissions)
pennyliang的专栏
07-13 2万+
Linux的超时重传默认是3秒,这就意味这,一旦发生丢包,用户的体验将会很不好,因此可以采用强制快速重传技术来进行提速(Spurious SYN/SYN-ACK retransmissions),将超时重传时间强制设定为1秒。但这可能会导致duplicate packets,可以通过修改TS或DSACK(允许发多个ACK)等方式来进行改进。
TCP Out_of_OrderTCP Retransmission
chulai9728的博客
02-07 9069
使用wireshark抓包发现不少以下情况: TCP Out_of_Order的原因分析: 多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的电脑上面。 TCP Retransmission原因分析: 很明显是上面...
TCP ACKed unseen segment TCP Previous not capture
qq_35648576的博客
03-30 8357
TCP ACKed unseen segment TCP Previous not captured 对此,考虑是否包太大,网卡的mtu设置设置太小导致的
Wireshark的Out_of_Order Retransmission
weixin_33824363的博客
03-28 1342
今天用WireShark抓包,发现下面两个问题:TCP Out_of_OrderTCP Retransmission TCP Out_of_Order的原因分析: 多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的...
TCP Spurious Retransmission
喝醉酒的小白
05-17 1673
请记住,虽然TCP虚假重传提供了潜在数据包丢失问题的一些指标,但它并不能绝对证明丢包。通过分析各种网络指标和进行全面的测试,可以更准确地评估网络状况和数据包丢失情况。要确定是否真正存在数据包丢失,您需要分析其他网络测量和指标。TCP虚假重传是网络中可能存在丢包问题的一个指标,但并不意味着一定存在丢包。这些因素会导致TCP发送方错误地认为数据包已丢失,并触发重传操作。虚假重传可能由多种因素引起,例如。
tcp spurious retransmission
懒雄熊的专栏
10-10 3万+
 tcp虚假重传 指实际上并没有超时,但看起来超时了,导致虚假超时重传的原因有很多种: (1)对于部分移动网络,当网络发生切换时会导致网络延时突增 (2)当网络的可用带宽突然变小时,网络rtt会出现突增的情况,这会导致虚假超时重传 (3)网络丢包(原始和重传的包都有可能丢包)会导致虚假重传超时。
tcp previous segment not captured
08-13
"TCP previous segment not captured"是指在网络数据包捕获过程中,某个TCP报文的前一个段未被正确捕获到。这可能是由于捕获设备或软件的性能限制或配置问题导致的。 在网络数据包分析和捕获过程中,使用抓包工具(如Wireshark)可以截获网络中的数据包,并提供对这些数据包的分析和解读。当出现"TCP previous segment not captured"的警告或提示时,意味着在捕获网络数据包时,某个TCP报文的前一个段没有被完整地捕获到。 这可能会导致在分析和重构TCP会话时出现一些困难。TCP协议是基于顺序传输的,每个TCP报文都依赖于前一个报文的正确接收和处理。如果前一个报文没有被完整捕获,可能会导致后续报文的重组和解析出现问题。 有几种原因可能导致"TCP previous segment not captured"警告的出现,包括: 1. 捕获设备或软件性能不足,无法及时处理大量的数据包。 2. 捕获设备或软件配置问题,未正确设置过滤规则或缓冲区大小。 3. 网络拥塞或高负载情况下,数据包丢失或延迟导致部分报文未能被捕获。 解决"TCP previous segment not captured"问题的方法包括: 1. 使用更高性能的捕获设备或软件,确保能够处理大量的数据包。 2. 检查捕获设备或软件的配置,确保设置正确的过滤规则和适当的缓冲区大小。 3. 在网络拥塞或高负载情况下,考虑增加带宽或优化网络配置,以减少数据包丢失和延迟。 请注意,"TCP previous segment not captured"只是一个警告或提示,可能不会对网络性能或应用程序产生实质性影响。但如果需要进行深入的网络分析和故障排查,确保准确捕获并解析所有TCP报文是很重要的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值