La compréhension [TCP roupe animé invisible segment] [TCP segment Précédent n'est pas capturé]
Nous faisons quelques tests de charge sur nos serveurs et je suis en utilisant tshark afin de capturer des données à un fichier pcap, puis en utilisant la wireshark GUI pour voir quelles erreurs ou des avertissements apparaissent en allant à Analyser -> expert Info avec mon ppce chargé dans..
Je vois des choses que je ne sais pas ou ne comprenez pas encore..
En vertu de mises en garde que j'ai:
779 Avertissements pour le protocole TCP: roupe animé segment qui n'a pas été capturé (commun à la capture de départ)
446 TCP: segment Précédent n'est pas capturé (commun à la capture de départ)
En est un exemple :
40292 0.000 xxx xxx TCP 90 [TCP roupe animé invisible segment] [TCP segment Précédent n'est pas capturé] 11210 > 37586 [PSH, ACK] Seq=3812 Ack=28611 Gagner=768 Len=24 TSval=199317872 TSecr=4506547
Nous aussi couru le fichier pcap si une belle commande qui crée une ligne de commande de colonne de données
commande
tshark -i 1 -w file.pcap -c 500000
fondamentalement juste vu un peu les choses dans le protocole tcp.de l'analyse.lost_segment colonne, mais pas beaucoup..\
Personne éclairer ce qui pourrait se passer? tshark pas en mesure de tenir à l'écriture de données, d'un autre problème? Faux positif?
OriginalL'auteur Steve | 2013-08-20
Vous devez vous connecter pour publier un commentaire.
Qui peut très bien être un faux positif. Comme le message d'avertissement dit, il est commun pour une capture de commencer dans le milieu d'une session tcp. Dans ces cas, il ne dispose pas de cette information. Si vous êtes vraiment en manque acks alors il est temps de commencer à chercher en amont de votre hôte pour savoir où ils sont en train de disparaître. Il est possible que tshark ne pouvez pas maintenir en place avec les données et c'est l'abandon de certaines mesures. À la fin de votre capture, il vous dira si le "noyau a chuté de paquets" et combien. Par défaut tshark désactive la recherche dns, tcpdump ne le fait pas. Si vous utilisez l'outil tcpdump vous devez passer dans le "-n" de l'interrupteur. Si vous avez un disque IO problème, alors vous pouvez faire quelque chose comme écrire dans la mémoire /dev/shm. MAIS attention, car si vos captures d'obtenir de très grandes alors que vous pouvez entraîner votre machine pour démarrer la permutation.
Mon pari est que vous avez une très longue à exécuter des sessions tcp et lorsque vous démarrez votre capture vous êtes tout simplement absent certaines parties de la session tcp en raison de cela. Cela dit, voici quelques choses que j'ai vu causer des doubles/manquant acks.
OriginalL'auteur dtorgo
Une autre cause de "TCP roupe animé Invisible" est le nombre de paquets qui peuvent être éliminés dans une capture. Si je n'ai pas filtré de capture pour l'ensemble du trafic sur une longue interface, je vais parfois voir un grand nombre de "chute" des paquets après l'arrêt de la tshark.
Sur la dernière capture que j'ai fait lorsque j'ai vu cela, j'ai eu 2893204 paquets capturés, mais une fois que j'appuie sur Ctrl-C, j'ai eu un 87581 paquets rejetés message. C'est un 3% de perte, de sorte que lorsque wireshark ouvre la capture, probablement paquets manquants et rapport de "l'invisible" des paquets.
Comme je l'ai mentionné, j'ai capturé un de très occupé interface sans filtre de capture, de sorte tshark avait pour trier tous les paquets, lorsque j'utilise un filtre de capture afin de supprimer le bruit, je n'ai plus l'erreur.
OriginalL'auteur Nathan
Roupe animé Invisible de l'échantillon
Salut les gars! Juste quelques observations à partir de ce que je viens de trouver dans ma capture:
En de nombreuses occasions, la capture de paquets rapports “roupe animé segment qui n'a pas été capturé” sur le côté client, les alertes à la condition que le PC client a envoyé un paquet de données, le serveur accuse réception de ce paquet, mais la capture de paquets faite sur le client ne comprend pas le paquet envoyé par le client
Au départ, j'ai pensé qu'il indique une défaillance de l'ordinateur pour enregistrer dans la capture d'un paquet, il envoie parce que, par exemple, de la machine qui est en cours d'exécution Wireshark est lent” (https://osqa-ask.wireshark.org/questions/25593/tcp-previous-segment-not-captured-is-that-a-connectivity-issue)
Cependant, j'ai remarqué que chaque fois que je vois cette “roupe animé segment qui n'a pas été capturé” alerte, je peux voir l'historique d'un “invalide” paquet envoyé par le client PC
Dans la capture exemple ci-dessus, le cadre 67795 envoie un accusé de réception pour 10384
Même si wireshark rapports Bidon longueur de la propriété intellectuelle (0), le cadre est 67795
rapporté avoir la longueur 13194
Ethernet /IP /TCP en-tête (14 pour Ethernt, 20 de la propriété intellectuelle, 20 pour TCP)
octets) système d'exploitation qui a tenté de mettre sur le portait
le serveur lit ces capte correctement
longueur” et “roupe animé segment qui n'a pas été capturé” l'alerte a été en fait
les faux positifs dans mon cas
OriginalL'auteur Stan Strijakov