Jak znaleźć utracone pakiety za pomocą Wireshark?

Powolne, opóźnione połączenie może wskazywać, że pakiety są odrzucane podczas przesyłania. Chociaż pewien poziom utraty pakietów jest akceptowalny w niektórych scenariuszach, w innych może poważnie zakłócić wrażenia użytkownika, zwłaszcza podczas przesyłania strumieniowego multimediów. Ponadto system może całkowicie odrzucać pakiety, aby skompensować opóźnienie, a dane mogą zostać utracone w trakcie tego procesu.

Oto jak sprawdzić, czy Wireshark ma do czynienia z upuszczonymi lub utraconymi pakietami, aby szybko zdiagnozować problem.

Nieodebrane pakiety? Weźmy je

Gdy użytkownicy skarżą się na powolną usługę lub słaby transfer danych, logiczne jest założenie, że winę za to ponosi utrata pakietów. Nie wszystkie utracone pakiety są odrzucane, ale wysoki współczynnik odrzucania może wskazywać na różne problemy. Oto proces sprawdzania, czy upuściłeś pakiety w Wireshark.

1. Otwórz aplikację komputerową Wireshark .

   

2. Upewnij się, że jesteś w trybie przechwytywania.

   

3. Znajdź pasek stanu u dołu okna.

   

Tutaj zobaczysz statystyki dotyczące przechwyconych pakietów. Liczba obok „Dropped” wskazuje, czy jakieś pakiety zostały odrzucone. W niektórych wersjach licznik „Discarded” pojawia się tylko wtedy, gdy Wireshark nie przechwycił wszystkich pakietów.

Jeśli jesteś pewien, że niektóre pakiety zostały porzucone, ale pasek stanu nie pomaga, znajdź statystyki porzuconych pakietów w następujący sposób:

1. Kliknij „Statystyki” na pasku menu.

   

2. Wybierz Właściwości pliku przechwytywania. Otworzy się nowe okno.

   

3. W obszarze Interfejsy zobaczysz porzucone pakiety. Liczba poniżej pokazuje, ile pakietów nie zostało przechwyconych.

   

Nawet jeśli Wireshark nie przechwytuje wszystkich pakietów, nie oznacza to, że nie zostały przesłane. Program może po prostu nie nadążać za szybkim przepływem. Jednak nadal jest w stanie potwierdzać pakiety, które nie zostały przechwycone za pomocą pakietu ACK, ponieważ są to mniejsze pakiety, które są łatwiejsze do przechwycenia. W ten sposób często można zidentyfikować porzucone pakiety, szukając ACK w kolumnie informacyjnej. ACK informuje, że dane zostały pomyślnie przesłane pomimo braku pakietu.

Badanie utraconych pakietów

Nieprzechwycone pakiety nie są równe pakietom utraconym. Podczas gdy pakiety, których nie przechwycił Wireshark, mogą nadal dotrzeć do miejsca docelowego, utracone pakiety nie. Zamiast tego są zwykle retransmitowane i usuwane dopiero w najgorszym przypadku. Aby zbadać utracone pakiety w segmencie TCP, musisz dokładnie sprawdzić kolumnę informacji na ekranie przechwytywania.

1. Wybierz rozmowę, którą chcesz przejrzeć, i zastosuj ją jako filtr. Nie jest to obowiązkowe, ale pomoże ci uzyskać lepszy przegląd.

   

2. Wybierz dowolny z pakietów.

   

3. Kliknij Protokół internetowy w wersji 4 w obszarze Szczegóły.

   

4. Znajdź numer identyfikacyjny i kliknij go prawym przyciskiem myszy, a następnie kliknij „Zastosuj jako kolumnę”.

   

Teraz możesz zobaczyć numer seryjny każdej transmisji. Przejrzyj liczby, aby znaleźć wszelkie rozbieżności. Pamiętaj, że w TCP utracone pakiety mogą być później retransmitowane, więc nawet jeśli nie ma transmisji, może być dalej. Możesz go znaleźć po numerze identyfikacyjnym.

Gdy pakiet nie może zostać przesłany, zobaczysz komunikat „Poprzedni segment nie został przechwycony” w kolumnie „Informacje” następnego wiersza. Możesz także wyszukiwać utracone pakiety we wszystkich rozmowach, filtrując je według tego komunikatu o błędzie. Wpisz „tcp.analysis.lost_segment” w wierszu filtra i naciśnij Enter. Możesz również połączyć to z filtrami adresów IP lub konwersacji, wpisując „i” między dwoma filtrami, aby uzyskać dokładniejszy wynik. Ponownie możesz wyszukać utracone pakiety po ustaleniu ich numerów ID.

Jak wspomniano, protokół TCP umożliwia późniejszą retransmisję utraconych segmentów. Możesz użyć filtru „tcp.analysis.retransmission”, aby znaleźć swoje retransmisje. Znajdowanie retransmitowanych pakietów może czasami być bardziej wydajne niż znajdowanie utraconych segmentów, ponieważ utracone segmenty mogą obejmować więcej niż jeden pakiet, a retransmisje to pojedyncze pakiety.

Śledź utracone pakiety za pomocą Wireshark

Ustalenie, czy pakiet został utracony lub porzucony przez Wireshark, nie zawsze jest łatwe. Zwykle nie wystarczy wziąć pod uwagę tylko jedną metrykę, należy wziąć pod uwagę kilka czynników. Porzucone pakiety często docierają do miejsca docelowego bez szwanku, podczas gdy wiele utraconych pakietów może pogorszyć wrażenia użytkownika.