La compréhension [TCP roupe animé invisible segment] [TCP segment Précédent n'est pas capturé]

Nous faisons quelques tests de charge sur nos serveurs et je suis en utilisant tshark afin de capturer des données à un fichier pcap, puis en utilisant la wireshark GUI pour voir quelles erreurs ou des avertissements apparaissent en allant à Analyser -> expert Info avec mon ppce chargé dans..

Je vois des choses que je ne sais pas ou ne comprenez pas encore..

En vertu de mises en garde que j'ai:
779 Avertissements pour le protocole TCP: roupe animé segment qui n'a pas été capturé (commun à la capture de départ)
446 TCP: segment Précédent n'est pas capturé (commun à la capture de départ)

En est un exemple :
40292 0.000 xxx xxx TCP 90 [TCP roupe animé invisible segment] [TCP segment Précédent n'est pas capturé] 11210 > 37586 [PSH, ACK] Seq=3812 Ack=28611 Gagner=768 Len=24 TSval=199317872 TSecr=4506547

Nous aussi couru le fichier pcap si une belle commande qui crée une ligne de commande de colonne de données

commande

tshark -i 1 -w file.pcap -c 500000

fondamentalement juste vu un peu les choses dans le protocole tcp.de l'analyse.lost_segment colonne, mais pas beaucoup..\

Personne éclairer ce qui pourrait se passer? tshark pas en mesure de tenir à l'écriture de données, d'un autre problème? Faux positif?

OriginalL'auteur Steve | 2013-08-20

  1. 4

    Qui peut très bien être un faux positif. Comme le message d'avertissement dit, il est commun pour une capture de commencer dans le milieu d'une session tcp. Dans ces cas, il ne dispose pas de cette information. Si vous êtes vraiment en manque acks alors il est temps de commencer à chercher en amont de votre hôte pour savoir où ils sont en train de disparaître. Il est possible que tshark ne pouvez pas maintenir en place avec les données et c'est l'abandon de certaines mesures. À la fin de votre capture, il vous dira si le "noyau a chuté de paquets" et combien. Par défaut tshark désactive la recherche dns, tcpdump ne le fait pas. Si vous utilisez l'outil tcpdump vous devez passer dans le "-n" de l'interrupteur. Si vous avez un disque IO problème, alors vous pouvez faire quelque chose comme écrire dans la mémoire /dev/shm. MAIS attention, car si vos captures d'obtenir de très grandes alors que vous pouvez entraîner votre machine pour démarrer la permutation.

    Mon pari est que vous avez une très longue à exécuter des sessions tcp et lorsque vous démarrez votre capture vous êtes tout simplement absent certaines parties de la session tcp en raison de cela. Cela dit, voici quelques choses que j'ai vu causer des doubles/manquant acks.

    1. - Commutateurs (très peu probable, mais parfois ils sont dans un état malade)
    2. Routeurs - plus susceptibles que les commutateurs, mais pas beaucoup
    3. Pare - feu Plus susceptibles que les routeurs. Choses à rechercher ici sont l'épuisement des ressources (licence, cpu, etc)
    4. Côté Client filtrage logiciel antivirus, détection des logiciels malveillants, etc.

    OriginalL'auteur dtorgo

  2. 2

    Une autre cause de "TCP roupe animé Invisible" est le nombre de paquets qui peuvent être éliminés dans une capture. Si je n'ai pas filtré de capture pour l'ensemble du trafic sur une longue interface, je vais parfois voir un grand nombre de "chute" des paquets après l'arrêt de la tshark.

    Sur la dernière capture que j'ai fait lorsque j'ai vu cela, j'ai eu 2893204 paquets capturés, mais une fois que j'appuie sur Ctrl-C, j'ai eu un 87581 paquets rejetés message. C'est un 3% de perte, de sorte que lorsque wireshark ouvre la capture, probablement paquets manquants et rapport de "l'invisible" des paquets.

    Comme je l'ai mentionné, j'ai capturé un de très occupé interface sans filtre de capture, de sorte tshark avait pour trier tous les paquets, lorsque j'utilise un filtre de capture afin de supprimer le bruit, je n'ai plus l'erreur.

    OriginalL'auteur Nathan

  3. 0

    Roupe animé Invisible de l'échantillon

    Salut les gars! Juste quelques observations à partir de ce que je viens de trouver dans ma capture:

    En de nombreuses occasions, la capture de paquets rapports “roupe animé segment qui n'a pas été capturé” sur le côté client, les alertes à la condition que le PC client a envoyé un paquet de données, le serveur accuse réception de ce paquet, mais la capture de paquets faite sur le client ne comprend pas le paquet envoyé par le client

    Au départ, j'ai pensé qu'il indique une défaillance de l'ordinateur pour enregistrer dans la capture d'un paquet, il envoie parce que, par exemple, de la machine qui est en cours d'exécution Wireshark est lent” (https://osqa-ask.wireshark.org/questions/25593/tcp-previous-segment-not-captured-is-that-a-connectivity-issue)

    Cependant, j'ai remarqué que chaque fois que je vois cette “roupe animé segment qui n'a pas été capturé” alerte, je peux voir l'historique d'un “invalide” paquet envoyé par le client PC

    • Dans la capture exemple ci-dessus, le cadre 67795 envoie un accusé de réception pour 10384

    • Même si wireshark rapports Bidon longueur de la propriété intellectuelle (0), le cadre est 67795
      rapporté avoir la longueur 13194

    • Cadre 67800 envoie un accusé de réception pour 23524
    • 10384+13194 = 23578
    • 23578 – 23524 = 54
    • 54 est en fait la longueur de la
      Ethernet /IP /TCP en-tête (14 pour Ethernt, 20 de la propriété intellectuelle, 20 pour TCP)
    • Donc, en fait, le cadre 67796 représente un gros paquets TCP (13194
      octets) système d'exploitation qui a tenté de mettre sur le portait

      • NIC pilote de le fragmenter en petits 1500 octets morceaux afin de les transmettre sur le réseau
      • Mais Wireshark en cours d'exécution sur mon ordinateur ne parvient pas à comprendre, c'est un paquet valide et l'analyse. Je crois que Wireshark en cours d'exécution sur Windows 2012
        le serveur lit ces capte correctement
    • Alors, après tout, ces “Faux IP
      longueur” et “roupe animé segment qui n'a pas été capturé” l'alerte a été en fait
      les faux positifs dans mon cas

    OriginalL'auteur Stan Strijakov