写点什么

Wireshark 数据包分析学习笔记 Day7

发布于: 2021 年 03 月 10 日
Wireshark数据包分析学习笔记Day7

在 wireshark 中筛选 GET 请求的数据包,http.request.method==”Get”。

 

在某些情况下,如果 IP 地址由一个组织或者企业直接注册,那么 WHOIS 查询会返回组织名称。然而,多数情况下,公司不会自己去申请 IP,而是从因特网提供商(ISP)的 IP 地址池中获取地址。在这种情况下,另一种有效的措施是查找与 IP 地址相关联的自主系统编号(ASN)。

 

当远程 Web 主机没有响应请求连接,且连 RST 数据包也没有发过来,可能的原因是:

Web 服务器配置错误、Web 服务器的协议栈崩溃、远程网络部署了数据包过滤设备。

 

数据包丢失的原因有很多,包括故障的应用程序、流量负载沉重的路由或者临时性的服务中断。

 

决定是否需要重传数据包的主要机制叫作重传计时器。其负责维护重传超时(RTO)的值。每当使用 TCP 传输一个数据包时,就启动重传计时器。当收到这个数据包的 ACK 时,计数器就会停止。从发送数据包到接受 ACK 确认之间的时间被称为往返时间(RTT)。若干个这样的时间平均下来可算出 RTO 值。

 

每次重传,RTO 值都将翻倍。最大重传次数取决于操作系统上的配置。默认情况下,Windows 最多重传 5 次,而 Linux 默认重传 15 次。

 

接受数据的序列号+接受数据的字节数=发出的确认号


当数据包丢失,接受方会重新发送一个包含丢失数据包的序列号的 ACK 数据包,以通知发送方重传该数据包。当传输主机收到 3 个来自接受方的重复 ACK 时,它就会快速重传这个数据包。一旦触发快速重传,其他所有正在传输的数据包都靠后,直到快速重传数据包发送出去为止。

 

在启用了 SACK 时,只需要重传丢失的数据包即可。若没有启用,则需要重新传输丢失数据包之后的每一个数据包。

 

定位高延迟有效的方法:关注通信序列里的前 6 个数据包,包括三次 TCP 三次握手、初始请求,及对这个请求的确认,以及从服务器发往客户端的第一个数据包。


发布于: 2021 年 03 月 10 日阅读数: 11
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
Wireshark数据包分析学习笔记Day7