WireShark 抓包问题集

最新推荐文章于 2024-06-21 11:45:55 发布
最新推荐文章于 2024-06-21 11:45:55 发布
阅读量8.9k 收藏 5
点赞数 1
分类专栏: TCPIP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouguoqionghai/article/details/72722173
版权

0、在windows 上运行时,要以管理员身份启动程序,不然会出现:



的问题。


1、实体机与虚拟机之间抓包问题

在主机和虚拟机之间进行抓包联系,虚拟机的网卡设置为网桥模式,复制物理网络连接状态。

发现每一个包都会重复,原因在于虚拟机使用是和物理机一样的同一块物理网卡,所以不同于两天实体机之间,相当于每个包在发送端和接收端都被抓取到,在我的机器上前后相差的时间在3 * 10 -6s 之内。

对于重复的包,WireShark 有的标记为重传,有的标记为乱序。其实这两种标记的区别不大。

Retransmitted vs. Out of Order packets

需要注意的是 TCP 的累积确认机制:

1)、A端 发送包中的Ack值,表示凡 B端 发送Seq <=Ack 的数据包 A端 都接收到。2)、Ack 值用来表示 A端 希望 B端 发送的下一个数据包的 Seq 值不小于Ack。3)、为了节省带宽,Ack 通常伴随着数据一起发送:当然也有单纯 len == 0 的 Ack 包。

https://ask.wireshark.org/questions/51741/retransmitted-vs-out-of-order-packets

对于多次发送一个相同内容的数据包wireshark解剖器的处理:如果是没有收到确认再次发送,则标记为重传。如果已经收到确认,但是数据包也发送出来了,此时标记为Out of Order packets。


https://blog.packet-foo.com/2014/08/tcp-expert-updates-in-wireshark-1-12/

这里的解释:是通过RTT 即一次往返时间来计算的,时间超过这个表示重传,时间小于这个表示out of order。

简单来说,实际上TCP是两个端口之间的通信。所以在显示过滤里边,可以过滤掉两个端口之外的其他所有的数据包。

在包详情里,选中特定的字段,鼠标右键,Prepare a filter 便可以按照该字段的值来进行过滤。

得到一个 ip.len == 30 的显示过滤条件。

2、数据包接力说明

本机访问互联网,局域网内通过 MAC 地址来标识,arp 协议用来通过在局域网内用 IP 地址查询 MAC 地址。本机 IP 192.168.1.101,MAC 地址 3c-46-d8-d6-36-7f(Tp-link的无线网卡),访问的 ip 60.160.81.18 在外网,需要通过网关。这个网关在无线路由器上,所以数据包中的目的 MAC 为30-fc-68-4f-b0-54. 从无线网卡传输到无线路由器,完成第一跳,到无线路由器之后,源 MAC 被改成无线路由器的 MAC,目的 MAC 被改成 下一跳的 MAC , 同时存活跳数:TTL 减 1,变成127. TTL 用来防止数据包被无尽的传递。

zhouguoqionghai
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark 如何去除重复的包_Wireshark使用小技巧
weixin_42309456的博客
12-31 3105
阅读:10,371Wireshark它是一款功能强大的网络抓包分析工具,大家对他并不陌生,可能工作中每天都会用,用它来排查故障、分析攻击类型等,可以更快理解和发现问题,下面来让绿盟君介绍一下wireshark的几个使用小技巧。1、TCP流绘制为了便于理解在整个TCP会话期间,TCP 的Seq号和Ack号的工作过程,可使用Wireshark的绘制流功能,选择菜单栏中的 Statistics -&gt...
wireshark 如何去除重复的包_wireshark过滤重复、TCP重传、HTTP握手数据包
weixin_39820588的博客
02-05 7717
1、过滤http握手的空报文使用wireshark打开pcap包,通过条件过滤数据长度为0的包,命令如下:tcp.len > 02、过滤重复数据包使用cmd命令窗口,进入wireshark安装目录,找到editcap.exe程序。执行editcap.exe -d命令,指定源文件(d:\input.pcap)和目标文件(d:\output.pcap),命令如下:C:\Program Files...
详细版Wireshark安装,堪称保姆级教程,Wireshark抓包_wireshark安装教程_安装wireshark工具
最新发布
ewii12567的博客
06-21 2455
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
抓包发现tcp会话中老是出现重复的ack和大量的tcp重传——SACK(Selective Acknowledgment, 选择性确认)技术
时光凉春衫薄的博客
01-24 5565
最近在学习wireshark 看到一个挺有用的一个知识点,我的云服务器到我的客户机哪里总是出现tcp重传的问题,而且数量还挺大,又有带宽足够大所以业务上面看起来并没有感到什么异常情况,但是随着业务流量的逐渐增大,渐渐的这个问题见开始明显了,出现了卡慢的情况,通过wireshark抓包的时候发现,一个传输文件的会话中数据包的顺序有点乱,一般情况下客户端连续发送1,2,3,4,5,6,7,8个数据包的时候到达服务器的顺序也是1,2,3,4,5,6,7,8。但是由于公网的不可确定可能会有网络拥塞等等的情况, 因.
Wireshark抓包实例分析TCP重复ACK与乱序
weixin_30823227的博客
10-10 271
转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese 介绍 TCP的一大常见问题在于重复ACK与快速重传。这一现象的发生也是由于性能问题,本章讨论如何发现这一问题以及他们意味着什么。 另一个常见问题是前一片段丢失以及乱序片段。某些情况下,这一现象喻示着故障发生,可能是由于网络问题或是抓包中断。 更多信息 重复AC...
wirehsark tcp retransmission触发
weixin_42603332的博客
02-10 1254
TCP retransmission 被触发的原因可能有很多,常见的有: 网络拥堵:当网络带宽不足以满足数据传输需求时,TCP 重传机制会被触发。 丢包:如果数据包在传输过程中丢失,对端没有收到完整的数据,TCP 重传机制会被触发。 慢启动:当 TCP 在慢启动阶段,它会观察网络是否拥堵,如果遇到丢包情况,TCP 重传机制会被触发。 慢速环路:当某些环节的带宽很低,数据包在这个环节的传输速...
wireshark重复包进行过滤
junqingdao的专栏
07-02 1万+
工作中
Wireshark数据抓包分析之UDP协议
xiao_ZHEDA的博客
08-23 4273
通过wireshark抓包分析UDP协议的工作过程
tcpdump抓包却抓到两个相同包的奇葩问题
认知 行动 坚持
06-17 1万+
去年, 在某次调测中, 用发包工具发包, 结果抓到两个包, 每次都是这样, 但log却显示只有一次。 这就纳闷了, 按道理说, tcpdump肯定比业务log更可信啊。        后来, 请教某哥, 原来他也遇到过这个问题, 权当是tcpdump在此特殊场景下的bug吧。        最近, 某GG又遇到了一次        就这样, 先说这么多。
VoIP之Wireshark使用
szkbsgy的专栏
05-08 2855
Wireshark是网络协议分析必不可少的工具软件,熟练使用wireshark能在网络软件问题分析中起到事半功倍的效果。在VoIP领域中,Wireshark软件也是不可缺少的。无论是SIP协议分析、音视频问题定位、或是项目安装部署问题排查,都有它的一席之地。本文从以下几个方面介绍Wireshark在VoIP领域中的应用。 一、报文过滤 一般抓到的报文中都包含大量其它协议的网络包,为了更好的分析问题,需要输入合适的过滤条件。实际分析中过滤条件有以下几种: SIP 最常用的过滤条件 SIP+RT
Wireshark TS | 重复 IP ID 问题
7ACE的博客
09-14 1119
Wireshark TS | 重复 IP ID 问题
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
热门推荐
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令。
网络基本功(二十五):Wireshark抓包实例分析TCP重复ACK与乱序
mxway的专栏
03-14 1万+
网络基本功(二十五):Wireshark抓包实例分析TCP重复ACK与乱序   转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese    介绍   TCP的一大常见问题在于重复ACK与快速重传。这一现象的发生也是由于性能问题,本章讨论如何发现这一问题以及他们意味着什么。 另一个常见问题是前一片段丢失以及乱序
Wireshark教程之统计功能(TEST)
吃个榴莲压压鲸的博客
03-23 7538
1、工具介绍 2、主要应用 实验原理 Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者Gerald决定离开他原来供职的公司NIS,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。   Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。...
tcpdump得到重复的包
IT架构师
01-19 1190
tcpdump得到重复的包 参考 https://access.redhat.com/solutions/3568351
计算机网络实验之Wireshark 实验
Fighter_AI的博客
01-04 1891
Wireshark 实验数据链路层实作一(熟悉 Ethernet 帧结构)实作二(了解子网内/外通信时的 MAC 地址)实作三(掌握 ARP 解析过程)网络层实作一(熟悉 IP 包结构)实作二 (IP 包的分段与重组)实作三 (考察 TTL 事件)传输层实作一 (熟悉 TCP 和 UDP 段结构)实作二 (分析 TCP 建立和释放连接)应用层实作一 (了解 DNS 解析)实作二 (了解 HTTP 的请求和应答) 数据链路层 实作一(熟悉 Ethernet 帧结构)   使用 Wireshark 任意进行抓包
关于fi dd ler 手机抓包 网卡地址地址_分布式场景下,网络故障排查抓包指南!...
weixin_39631350的博客
10-22 208
点击上方☝SpringForAll社区轻松关注!及时获取有趣有料的技术文章本文来源:http://r6a.cn/gLgP本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。1.1 Pull Docker 镜像$sudodo...
[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类
weixin_42728126的博客
04-23 1万+
前言 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口抓包 1、 全局模式下指定一个镜像端口 observe-port 1 interface g 0/0/4 2、指定一个监测端口 int g 0/0/5 port-mirrori...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值