NetShark
关注
分享
扫一扫
文章平均质量分 90
网络数据包接入、捕获和分析
7ACE
这个作者很懒,什么都没留下…
展开
-
Wireshark TS | 浅谈直播丢帧问题
限于知识面,确实只能浅谈下数据包现象,实际上反映在直播应用上,是否一定能对应问题现象,还需要进一步的测试,但像是应用上反馈的丢帧,从数据包上来说,实际上是乱序(此处较真)~原创 2025-05-11 11:09:37 · 807 阅读 · 0 评论 -
Wireshark TS | 异常 ACK 数据包处理
存在即合理,数据包分析也会有这样的一个观点,不是嘛。原创 2025-04-17 21:56:08 · 1291 阅读 · 0 评论 -
Wireshark TS | 再谈虚假的 TCP Spurious Retransmission
所以仅仅是捕获数据包的问题,实际的生产交互完全不会有这样的问题,因此类似这样的案例学习了解原因即可,也就完全没必要在 Wireshark 中手动修改该重传数据包为乱序,没有意义。原创 2025-02-11 08:18:27 · 1613 阅读 · 0 评论 -
Wireshark TS | 虚假的 TCP Spurious Retransmission
如何高效的分析 TCP 乱序、重传,确实是一个很值得探讨的问题。原创 2025-01-21 09:07:31 · 1579 阅读 · 0 评论 -
Wireshark TCP 分析标志位说明汇总
在 Wireshark 网络数据包分析中,比较常见的一些 TCP 分析标志位的说明和案例汇总如下:原创 2025-01-10 08:36:34 · 400 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Retransmission
文档中关于的定义看起来简单,但实际考虑到 TCP 乱序、重传场景的复杂性,在 TCP 分析中对于是与等在一起判断标记乱序或重传类型,而在不少场景还会有判断出错的问题,当然 Wireshark 考虑到这种情况,也有手动修正的选项,这正好也侧面证明了上面的说法,关于 TCP 乱序、重传的复杂性。不是 Keep-Alive 数据包TCP 段大小大于零或设置了 SYN/FIN同方向之前下一个期望的 Seq Num 大于当前数据包的 Seq Num。原创 2025-01-05 15:41:30 · 995 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Out-Of-Order
文档中关于的定义看起来简单,但实际考虑到 TCP 乱序、重传场景的复杂性,在 TCP 分析中对于是与等在一起判断标记乱序或重传类型,而在不少场景还会有判断出错的问题,当然 Wireshark 考虑到这种情况,也有手动修正的选项,这正好也侧面证明了上面的说法,关于 TCP 乱序、重传的复杂性。不是 Keep-Alive 数据包TCP 段大小大于零或设置了 SYN/FIN同方向之前下一个期望的 Seq Num 大于当前数据包的 Seq Num。原创 2024-12-28 14:18:01 · 1373 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Fast Retransmission
文档中关于的定义看起来简单,但实际考虑到 TCP 乱序、重传场景的复杂性,在 TCP 分析中对于是与等在一起判断标记乱序或重传类型,而在不少场景还会有判断出错的问题,当然 Wireshark 考虑到这种情况,也有手动修正的选项,这正好也侧面证明了上面的说法,关于 TCP 乱序、重传的复杂性。不是 Keep-Alive 数据包同方向 TCP 段大小大于零或设置了 SYN/FIN 标志位同方向之前下一个期望的 Seq Num 大于当前数据包的 Seq Num反方向至少有两个重复 ACK。原创 2024-12-17 08:15:19 · 1186 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Keep-Alive
实际在 TCP 分析中,关于和当 TCP 数据段大小为 0 或 1 时设置,当前序列号比下一个期望的序列号小 1 字节,并且没有设置 SYN、FIN 或 RST。替代。next expected sequence number,为 nextseq,定义为 highest seen nextseq。具体的代码如下,总的来说这段代码的作用是检测出 TCP 保活包,并对其进行适当的标记,以便 Wireshark 能够正确识别和显示这种特殊的 TCP 控制数据包,帮助分析长连接的保活状态。原创 2024-11-02 16:44:18 · 1288 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Window Update
实际在 TCP 分析中,关于TCP 段大小为零窗口大小非零,不等于之前的窗口大小,并且没有有效的 SACK 数据Seq Num 等于之前下一个期望的 Seq NumACK Num 等于之前的 LastACK Num,或者等于在响应 ZeroWindowProbe 时的下一个期望的 Seq NumSYN、FIN、RST 均未设置next expected sequence number,为 nextseq,定义为 highest seen nextseq。原创 2024-10-16 22:09:25 · 1831 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP ZeroWindowProbe
实际在 TCP 分析中,关于TCP ZeroWindowProbe 和 ZeroWindowProbeAck当 Seq Num 等于之前下一个期望的 Seq NumTCP 段大小为 1反方向最后一次看到的接收窗口大小为零时设置影响或。具体的代码如下,总的来说这段代码的作用是检测零窗口探测包,并对其做出适当的标记,以便 Wireshark 进行后续的分析和显示。主要检测以下三个条件,如果都满足,则认为是一个零窗口探测数据包。检查 TCP 段长度是否为 1 字节;原创 2024-10-03 21:54:17 · 1396 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP ZeroWindow
TCP Analysis Flags 之 TCP ZeroWindow原创 2024-09-15 22:25:32 · 1605 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP ACKed unseen segment
实际在 TCP 分析中,关于的定义非常简单,当为反方向设置了期望的下一个确认号并且它小于当前确认号时设置。具体的代码如下,涉及到 TCP 分析逻辑还是稍复杂,毕竟涉及到不同方向的 Seq 和 Ack Num 计算,其中还涉及零窗口恢复时候的的一个特殊场景。总之,代码通过识别和处理 TCP 数据流中的 “被 ACK 的丢失数据包” 情况,并调整变量来反映被 ACK 的最大序列号,从而准确跟踪分析 TCP 连接的状态。else {原创 2024-08-24 15:53:32 · 2365 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Window Full
实际在 TCP 分析中,关于的定义非常简单,如下,为本端发送端所发的 TCP 段大小超过对端接收端的接收窗口大小,受到对端接收窗口大小的限制,需注意的是这个标记是在发送端标记,而不是在接收端标记。具体的代码如下,总的来说这段代码的作用是检测 TCP 数据流中的“窗口已满”情况,即当前数据段刚好达到接收端宣告的窗口边界,检测到这种情况时,会设置相应的标志以供后续处理使用。*/=-1if(!lastack,定义为 Last seen ack for the reverse flow。原创 2024-08-03 11:06:28 · 1820 阅读 · 0 评论 -
TCP Analysis Flags 之 TCP Previous segment not captured
TCP Analysis Flags 之 TCP Previous segment not captured原创 2024-07-10 08:21:45 · 1655 阅读 · 1 评论 -
Wireshark TS | 应用传输丢包问题
Wireshark TS | 应用传输丢包问题原创 2024-06-09 15:14:53 · 1440 阅读 · 1 评论 -
Wireshark 提示和技巧 | 如何合并多个捕获文件
Wireshark 提示和技巧 | 如何合并多个捕获文件原创 2024-05-20 19:44:17 · 2162 阅读 · 0 评论 -
Wireshark CLI | 过滤包含特定字符串的流
Wireshark CLI | 过滤包含特定字符串的流原创 2024-05-04 15:58:23 · 1443 阅读 · 0 评论 -
Wireshark TS | 再谈应用传输缓慢问题
Wireshark TS | 再谈应用传输缓慢问题原创 2024-04-16 19:41:49 · 1359 阅读 · 0 评论 -
Wireshark TS | HTTP 传输文件慢问题
Wireshark TS | HTTP 传输文件慢问题原创 2024-04-03 20:30:50 · 1525 阅读 · 0 评论 -
Wireshark TS | DNS 案例分析之外的思考
以上就是在之前 DNS 案例分析中延伸出来的一点思考,选项供参考使用。原创 2024-03-23 17:58:23 · 1123 阅读 · 0 评论 -
Wireshark TS | Linux 系统对时问题
Wireshark TS | Linux 系统对时问题原创 2024-02-24 13:46:41 · 1762 阅读 · 1 评论 -
Wireshark 提示和技巧 | Time 时间分析那些事
Wireshark 提示和技巧 | Time 时间分析那些事原创 2024-01-02 13:38:20 · 7043 阅读 · 0 评论 -
Wireshark TS | 应用传输缓慢问题
Wireshark TS | 应用传输缓慢问题原创 2023-11-18 16:07:30 · 871 阅读 · 1 评论 -
Wireshark CLI | Mergecap 篇
Wireshark CLI | Mergecap 篇原创 2023-10-13 19:34:45 · 1349 阅读 · 1 评论 -
Wireshark TS | 网络路径不一致传输丢包问题
Wireshark TS | 网络路径不一致传输丢包问题原创 2023-09-09 09:58:23 · 973 阅读 · 0 评论 -
Wireshark TS | 选择性or针对性丢包
Wireshark TS | 选择性or针对性丢包原创 2023-08-24 08:26:07 · 655 阅读 · 0 评论 -
Wireshark TS | 循序渐进看系统访问偶发失败
Wireshark TS | 循序渐进看系统访问偶发失败原创 2023-08-08 08:52:05 · 593 阅读 · 0 评论 -
Wireshark TS | 二谈访问网页失败
Wireshark TS | 二谈访问网页失败原创 2023-07-09 11:46:33 · 677 阅读 · 0 评论 -
Wireshark 提示和技巧 | 多文件捕获那些事
Wireshark 提示和技巧 | 多文件捕获那些事原创 2023-06-25 16:40:12 · 613 阅读 · 0 评论 -
Wireshark TS | DHCP 获取地址失败问题
Wireshark TS | DHCP 获取地址失败问题原创 2023-05-22 20:32:49 · 924 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 TCP 重传案例分析
Wireshark TS | Packet Challenge 之 TCP 重传案例分析原创 2023-05-13 18:35:59 · 1435 阅读 · 0 评论 -
Wireshark CLI | Editcap 篇
Wireshark CLI | Editcap 4.0.0 篇原创 2023-04-15 15:11:26 · 2142 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 DHCP 案例分析
Wireshark TS | Packet Challenge 之 DHCP 案例分析原创 2023-04-01 15:38:31 · 475 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 HTTP 案例分析 2
Wireshark TS | Packet Challenge 之 HTTP 案例分析 2原创 2023-03-18 15:29:52 · 978 阅读 · 1 评论 -
Wireshark TS | 系统吞吐慢问题
Wireshark TS | 系统吞吐慢问题原创 2023-03-04 16:31:48 · 1265 阅读 · 1 评论 -
Wireshark TS | FTP 传输失败问题
Wireshark TS | FTP 传输失败问题原创 2023-02-20 19:36:29 · 748 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 Window 案例分析
Wireshark TS | Packet Challenge 之 Window 案例分析原创 2023-02-09 08:17:08 · 435 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 MTU 案例分析
Wireshark TS | Packet Challenge 之 MTU 案例分析原创 2023-02-01 21:01:04 · 1069 阅读 · 0 评论 -
Wireshark TS | Packet Challenge 之 FTP 案例分析
Wireshark TS | Packet Challenge 之 FTP 案例分析原创 2023-01-27 14:12:00 · 748 阅读 · 0 评论