问题背景

首先，案例来自于互联网，数据包分析过程相对简单，但对个人来说，算是之前没实际碰到的情况，因此分享一下。

问题描述

当第一次查看数据包文件时，一眼就能看到 “Bad TCP” 的鲜艳着色，这说明或多或少存在着问题。

打开分析-专家信息：

看到了 Previous segment not captured，可能都知道发生丢包了，99.99%的情况下包丢失发生在互连设备上，有可能是设备过载，也有可能是设备故障。

但是实际真的发生丢包了嘛？

问题分析

或者你会有这样的疑问，如果有这么多丢失的数据包，难道不应该看到至少一次重传吗？可是，真的确实没有。( 而对于精通数据包分析的老司机来说，同时看到了 ACKed segment that wasn’t caputred 信息，应该很快就能分析得出结论 )

首先，TCP三次握手看起，很明显数据包2 (SYN+ACK)，在数据包1之后500多微秒后发送，以及数据包3 34毫秒的现象，可以判断出抓包的位置是在服务器上，或者说非常靠近服务器。因此也可以说明一种情况，不太可能错过服务器的重传包。

显示过滤器，输入" tcp.stream == 9 " 跟踪任意一个流

可以看到数据包57的 Seq 并非数据包56的 NextSeq，因此数据包57提示 TCP Previous segment not captured 意味着有丢包，大概2K多字节。
但紧接着数据包58的 ACK 确认了6001，标记 ACKed segment that wasn’t caputred ，代表说客户端确认收到了序列号6001之前的所有数据包。

收到并且确认了，而不是没收到，这样答案就很明显了，很有可能是交换机镜像会话丢弃了数据包，也就是说在镜像目的端口发生了数据包丢失，而不是真实会话发生了数据包丢失， 所以数据包文件才会显示有丢包，而且也才没有捕捉到数据包重传的现象。

同时可以进一步检查交换机镜像目的端口的 output drops，用来验证交换机性能超载情况。

问题总结

对于 TCP Previous segment not captured 的情况，不要轻易下结论，需要结合上下文，看看是否有相应的乱序、重传或者快速重传等等，再来进一步分析判断问题。

---

感谢阅读，更多技术文章可关注个人公众号：Echo Reply ，谢谢。

Wireshark TS | 丢包？不要轻易下结论相关推荐

1. wireshark抓包，丢包分析

   零基础学黑客,搜索公众号:白帽子左一 前言 我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果. 比如说竞测现场需要提供pcap包测试恶意 ...

2. 使用wireshark检测RTP丢包问题

   一.RTP协议简介 RTP 数据协议负责对流媒体数据进行封包并实现媒体流的实时传输,每一个RTP 数据报都由头部(Header)和负载(Payload)两个部分组成,其中头部前12 个字节的含义是固定 ...

3. Wireshark tcptrace图关于丢包重传细节图解

   上周六写了< 在Wireshark的tcptrace图中看清TCP拥塞控制算法的细节(CUBIC/BBR算法为例)>,收到一封邮件,说我文中的图示画错了.         确实,关于CUB ...

4. 【计算机网络】 0、各网络命令 + tcpdump + Wireshark、抓包实战、TCP 握手挥手、防火墙、保活、MTU

   文章目录 一.各层网络工具 应用层 找到服务器的 IP 查接口.对象的耗时 删除指定网站的Cookie 表示层.会话层 tcpdump.wireshard 传输层 telnet: 路径可达性测试 nc ...

5. Wireshark网络抓包(三)——网络协议

   一.ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址. IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信: 在通 ...

6. 网络丢包问题排查总结

   问题描述 发送端以UDP的方式向服务器发送数据包,但是一直没有接收完全,导致发送端一直发送数据. 排查步骤 对于网络发包的这种问题,首先需要确认的2件事情,1是发送端数据是否发送完全,2是接收端数据是 ...

7. 丢包和网络延迟对网络性能的影响

   一般地,网络性能指标涉及延迟.丢失和抖动.现在,我们将探讨这些问题(尤其是延迟和丢包)如何影响应用程序的性能. 实际上,所有的应用程序都使用TCP,即从A到B的数据传输控制协议.85%的因特网流量是T ...

8. 云网络丢包故障定位全景指南

   作者简介:冯荣,腾讯云网络高级工程师,腾讯云网络核心开发人员. 万字长文  建议收藏 引言 本期分享一个比较常见的⽹络问题--丢包.例如我们去ping⼀个⽹站,如果能ping通,且⽹站返回信息全⾯,则 ...

9. Wireshark网络抓包(一)——数据包、着色规则和提示

   一.数据包详细信息 Packet Details面板内容如下,主要用于分析封包的详细信息. 帧:物理层.链路层 包:网络层 段:传输层.应用层 1)Frame 物理层数据帧概况 2)Ethernet ...

最新文章

1. 设计模式读书笔记-单件模式
2. 免费学python的软件-此贴告诉你：为啥shell脚本人，不建议学python
3. R-3.1.1 编译安装2
4. 设计模式之Composite模式(笔记)
5. spring boot 实战
6. 全球撤稿排行榜前10出炉：第一名多到想象不到
7. java restsharp_C# RestSharp应用
8. LinkedList 真的是查找慢增删快？刷新你的认知！
9. supersocket缓冲区_SuperSocket学习进展
10. Linux 使用 ffmpeg 开发
11. java 汉字 正则_java正则表达式验证汉字
12. 邮箱如何开启pop3 smtp服务器,QQ邮箱开启POP3、SMTP方法
13. 大数据与综合交通规划的金句良言
14. 《SLA by Short brain》—学好英语口语的终极法宝！
15. vue-router 定义三级路由，路由跳转了，页面没出来
16. JFinal配置说明
17. C++ vector内存分配机制
18. 计算机组成原理——存储地址与边界对齐
19. 老苹果手机，密码锁忘了，Apple ID密码也忘了怎么办？
20. 问题简述：算出a年b月c日是当年的多少天

热门文章

1. vue在微信里面的兼容问题_详解Vue微信公众号开发踩坑全记录
2. 邯郸 java高级_一个高级java工程师的进阶之路
3. 关于淘宝取名的一些技巧和要点,你知道多少呢？
4. vue组件传值之事件总线
5. HTML特别章节：HTML快捷键、快捷口令（持续更新）
6. 手撸一个仿蚂蚁森林微信小程序
7. 计算机二级关于ppt背景音乐,计算机二级PPT难点重点汇总 拿分必备
8. 华为上传图片到计算机,华为神技逆天，秒传1000张手机照片到电脑
9. cheat——linux命令好帮手
10. Cheat Engine 训练教程