Медленное соединение с задержкой может указывать на то, что пакеты теряются при передаче. Хотя определенный уровень потери пакетов приемлем в некоторых сценариях, в других он может серьезно нарушить работу пользователя, особенно при потоковой передаче мультимедиа. Кроме того, система может вообще отбрасывать пакеты, чтобы компенсировать задержку, и данные могут быть потеряны в процессе.
Вот как с помощью Wireshark определить, имеете ли вы дело с отброшенными или потерянными пакетами, чтобы можно было быстро диагностировать проблему.
Отброшенные пакеты? Давайте заберем их
Когда пользователи жалуются на медленное обслуживание или плохую передачу данных, логично предположить, что виновата потеря пакетов. Не все потерянные пакеты отбрасываются, но высокая скорость отбрасывания может указывать на различные проблемы. Вот процесс проверки того, отбрасывали ли вы пакеты в Wireshark.
- Откройте приложение Wireshark для ПК.
- Убедитесь, что вы находитесь в режиме съемки.
- Найдите строку состояния в нижней части окна.
Здесь вы увидите некоторую статистику о захваченных вами пакетах. Число рядом с “Dropped” укажет, были ли отброшены какие-либо пакеты. В некоторых версиях значок “Dropped” счетчик появится только в том случае, если Wireshark не перехватил все пакеты.
Если вы уверены, что некоторые пакеты были отброшены, но строка состояния не помогает, найдите статистику отброшенных пакетов следующим образом:
- Нажмите “Статистика” в строке меню.
- Выберите “Свойства файла захвата&rdquo. ; Откроется новое окно.
- В разделе “Интерфейсы” вы увидите “Отброшенные пакеты” Число под ним показывает, сколько пакетов не было перехвачено.
Даже если Wireshark не захватывает все пакеты, это не означает, что они не были переданы. Программа может просто не успевать за быстрым потоком. Тем не менее, он по-прежнему может подтверждать пакеты, которые не были перехвачены с помощью пакета ACK, поскольку это пакеты меньшего размера, которые легче перехватить. Таким образом, вы часто можете определить отброшенные пакеты, выполнив поиск ACK в информационном столбце. ACK сообщает вам, что данные были успешно переданы, несмотря на отсутствие пакета.
Исследование потерянных пакетов
Незахваченные пакеты не равны потерянным пакетам. Хотя пакеты, которые Wireshark не перехватила, могут по-прежнему достигать места назначения, потерянные пакеты не могут этого сделать. Вместо этого они обычно передаются повторно и удаляются только в худшем случае. Чтобы исследовать потерянные пакеты в TCP-сегменте, вам нужно внимательно изучить информационный столбец на экране захвата.
- Выберите разговор, который вы хотите исследовать, и примените его в качестве фильтра. Это не обязательно, но поможет вам получить более полное представление.
- Выберите любой из пакетов.
- Нажмите “Версия интернет-протокола 4” В разделе «Подробности».
- Найдите идентификационный номер и щелкните его правой кнопкой мыши, затем нажмите “Применить как столбец.”
Теперь вы можете увидеть последовательный идентификационный номер каждой передачи. Просмотрите числа, чтобы найти любое несоответствие. Помните, что в TCP потерянные пакеты могут быть повторно переданы позже, поэтому, даже если передача отсутствует на своем месте, она все еще может быть там дальше. Вы можете найти его по идентификационному номеру.
Всякий раз, когда пакет не может быть передан, вы увидите сообщение “Предыдущий сегмент не захвачен” сообщение в столбце информации следующей строки. Вы также можете искать потерянные пакеты во всех разговорах, отфильтровав их по этому сообщению об ошибке. Введите “tcp.analysis.lost_segment” в строке фильтров и нажмите Enter. Вы также можете комбинировать это с фильтрами IP-адресов или разговоров, набрав “и” между двумя фильтрами, чтобы получить более точный результат. Опять же, вы можете искать потерянные пакеты после определения их идентификационных номеров.
Как уже упоминалось, TCP позволяет повторно передавать потерянные сегменты позже. Вы можете использовать “tcp.analysis.retransmission” фильтр, чтобы найти ваши ретрансляции. Поиск повторно переданных пакетов иногда может быть более продуктивным, чем поиск потерянных сегментов, поскольку потерянные сегменты могут включать более одного пакета, а повторные передачи — это отдельные пакеты.
Отследить потерянные пакеты с помощью Wireshark
Определить, был ли пакет потерян или отброшен Wireshark, не всегда просто. Обычно недостаточно рассматривать только одну метрику, необходимо учитывать несколько факторов. Отброшенные пакеты часто доходят до места назначения целыми и невредимыми, а многие потерянные пакеты могут ухудшить работу пользователя.
