【问题标题】:How to identify the retransmitted TCP segment in Wireshark?如何在Wireshark中识别重传的TCP段?
【发布时间】:2021-12-30 18:27:34
【问题描述】:

我很困惑在 Wireshark 捕获的段中识别重新传输的 TCP 段。是否有任何注释表明 Wireshark 中的段是重传的?

【问题讨论】:

  • 我不确定您的问题是什么。重新传输在 Wireshark 中有明确的标记。当然,Wireshark 也需要观察原始片段,否则它无法确定这是重传,而不仅仅是延迟交付。
  • 对不起,我的声明可能会导致歧义。我很少在WireShark中得到黑色背景的重传,所以我怀疑是否有其他方法可以识别重传而不是不重传。现在我明白了。

标签: tcp wireshark


【解决方案1】:

为了让wireshark将一个段识别为重传段,它必须在pcap文件中识别两个数据包(原始的和重传的)。

例如,如果您在接收端点上嗅探某个数据包,您可能只会看到重新传输的实例(有时,尽管并非总是如此,但重新传输会由于数据包未到达目的地而发生)。在这种情况下,wireshark 只会看到数据包的一个实例,并且不会知道它被重新传输。

如果 pcap 文件中确实有两个数据包(例如,对于上面的示例,但嗅探数据包的来源),wireshark 会识别它。

wireshark 标记 TCP 重传的方式因 WS 版本而异,但在后来的版本中,它通常默认为黑色(无论如何,您总是可以在 TCP 下的“专家信息”字段中看到)。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2017-12-30
    • 2011-10-19
    • 1970-01-01
    • 2012-10-16
    • 1970-01-01
    • 2012-09-06
    • 1970-01-01
    • 2011-02-18
    相关资源
    最近更新 更多