wireshark 相關提示，wireshark相關

wireshark 相關提示，wireshark相關

Packet size limited during capture 提示說明標記的包沒有抓全，在某些操作系統中，默認只抓96個字節，tcpdump中有“-s”參數可用於指定要抓的字節數，“-s 1500”即每個包可以抓1500個字節，‘-s 0’每個包有多少抓多少 TCP Previous segment not captured 表明有網絡包沒抓到，可能是抓包工具漏掉了，也可能是真的丟了。看對方回復的ACK即可知道，如果包括了對沒抓到的包的確認，那麼是抓包工具漏了，否則就是真的丟了 TCP ACKed unseen segment ACK有抓到，但被ACK的包沒被抓到，wireshark上常有的事，可忽略。 TCP Out_of_Order 包亂序，在正常的情況下，一個包的seq等於上一個包的seq加上len，也就是說包的seq一定大於或等於上一個包的seq，當wireshark發現這個包的seq小於上一個包的seq的時候，就會標注 TCP Out_of_Order，即包亂序了。 跨度小的亂序沒事，跨度大的亂序可能引起重傳。 TCP Dup ACK 當亂序或丟包發生時，接收方會收到一些seq號比期待值大的包，接收方每收到一個這樣的包，就會重傳一次ACK，告訴發送方，自己的期待值。這樣的ACK包會被標注為 TCP Dup ACK TCP Fast Retransmission 發送方收到3個或以上的【TCP Dup ACK】時，就意識到之前的包丟失了，就會觸發超時重傳 TCP Retransmission 如果一個包丟失了，但又沒發生【TCP Dup ACK】時，就無法觸發快速重傳，就只有等超時重傳了，重傳的包也就是TCP Retransmission TCP zerowindow TCP包中的win指發送方接收窗口的大小，當win=0時，wireshark就給包打上【TCP zerowindow】，表示緩沖區已滿，不能接收數據了。 TCP window Full 當打上這個標志時，表示發送方已經把接送方聲明的窗口大小耗盡了。即接送方聲明的win=65535，但現在在途字節數也已經有65535了。發送方停止發送數據。

http://xxxxxx/Linuxjc/1182077.html TechArticle