一、WireShar提示总结
1、Packet size limited during capture
被标记包的没有抓全,说明指抓取到了一部分数据包,比如有一个数据包有100个字节,但是可能只抓取到了前52个字节。这种情况在直接使用wireshark抓包的时候一般不会出现,在使用tcpdump默认抓包的长度是96个字节,如果比这个长的时候就抓不到了,但是可以在抓包的时候通过参数-s进行修改。比如:tcpdump -i eth0 -s 1000 -w /tmp/tcpdump.cap 这个指令就是抓取eth0网口的数据包,并且通过-s修改抓包的大小为1000字节,并且将抓取到的数据包以cap文件保存早/tmp/tcpdump.cap文件中。
2、TCP Previous segment not captured
在使用wireshark抓包的时候,如果抓取的是TCP数据包,那么同一个主机发出的数据段应该是连续的,即后一包的Seq号等于前一个包的seq+Len。如果在抓取的数据包中出现后一包的Seq号大于前一个包的seq+Len。那么就是在中间缺失了一些数据,这个时候wireshark就会发出这个提示。
3、TCP ACKed unseen segment
这个提示是在wireshark中最为常见的提示了,不过这个可以忽略。这个提示的意思是说在WireShark发现被ACK的那个包没有被抓到,不过这个提示常常忽略就可以了。
4、TCP out-of-order
这个提示个第2个提示相似,同一个主机发出的数据段应该是连续的,即后一包的Seq号等于前一个包的seq+Len。如果在抓取的数据包中出现后一包的Seq号小于前一个包的seq+Len,这个情况表示数据包乱序。
5、TCP Dup ACK
当乱序或者丢包发生时,接收方会收到一些Seq号比期望值大的包,它每收到一个这种包就会Ack一次期望的Seq值,以此方式来提醒对方,于是就产生了一些重复的ACK,此时WIreShark会在这种重复的Ack上标记为TCP Dup ACK。
6、【后补】
