wireshark抓包数据：理解与分析_wireshark 导出tcp包seq和len-程序员宅基地

技术标签：计算机网络

注明：本文为原创文章，转载请注明出处。参考文章见本文末尾。

wireshark是一个非常好用的抓包工具，本文根据平时抓包经验，对之前wireshark抓包的一些常见知识点进行了整理。

有不当之处，欢迎指正

1.SYN，FIN会消耗一个序号，单独的ACK不消耗序号

2.WIN表示可以接收数据的滑动窗口（接收缓冲区）是多少，如果A发到B的包的win为0，就是A告诉B说我现在滑动窗口为0了，饱了，你不要再发给我了，就说明A端环境有压力

3.ACK可以理解为应答。A发给B的ack是告诉B，我已收到你发的数据包，收到ack号这里了，你下次要发seq为ack号的给我

4.连续传输的时候，且无乱序，无丢包的情况下：上一个包的seq + len = 下一个包的 seq，如：

包55976：

包55977：

7801（55977的seq ） = 6501（55976的seq） + 1300（55976的len）

5.［TCP Previous segment not captured］

在TCP传输过程中，同一台主机发出的数据段应该是连续的，即后一个包的Seq号等于前一个包的Seq Len（三次握手和四次挥手是例外）。

如果Wireshark发现后一个包的Seq号大于前一个包的Seq Len，就知道中间缺失了一段数据。中间缺失的数据有的时候是由于乱序导致的，在后面的包中还可以找到

如：包55974

包55975：

5201（55975的seq ）！= 1（55974的seq ） + 1300（55974的len ）

6.在TCP传输过程中（不包括三次握手和四次挥手），同一台主机发出的数据包应该是连续的，即后一个包的Seq号等于前一个包的Seq Len。
也可以说，后一个包的Seq会大于或等于前一个包的Seq。当Wireshark发现后一个包的Seq号小于前一个包的Seq Len时，就会认为是乱序了。跨度大的乱序却可能触发快速重传

包55979：

包55980

seq(55979) > seq(55980)，55980应该是紧跟着55974的（1301 =1300 + 1），从到达的时间来看，是乱序了

7.关于SLE和SRE：

SACK在数据丢包需要重传时起作用。

比如，服务器已发送的数据为1~34454个包，但是，客户端只收到了“1~1301，5201~6501”这些序列的包，也就是说“1302~5200”这些包已经丢了。

这个时候，客户端会向服务器请求发送ACK，说我收到了seq为1301的包，同时也乱序收到了"SLE为5201，SRE为6501"的包。

那么，服务器就知道，接着从seq=1302的包开始发送，发送到seq=5200的包的时候，就不用在发送seq=5201的包了，因为客户端已经收到了。
如果ACK中不带SLE和SRE会怎样呢？那服务器就会重发从"1302"开始之后的所有的包，包括其实客户端已经收到的"5201~6501"序号的包，那就浪费网络带宽了

8.[TCP Dup ACK]

当乱序或者丢包发生时，接收方会收到一些Seq号比期望值大的包。它每收到一个这种包就会Ack一次期望的Seq值，以此方式来提醒发送方，于是就产生了一些重复的Ack。

同时，这些重复的ACK中，也会更新SLE和SRE的值，因为尽管ACK的值不变，即期望的seq没有收到，但可能又会新收到后面的乱序的包

9.关于Seq，Ack，Win，Len的理解：

1.指明本次数据发送的信息：本次发送的数据起始序号是Seq，发送的长度是Len

2.发送端告诉接收端：我期望的Ack是多少，即希望接收端下次发从seq为ack号的给我，同时我还可以接收Win大小的数据，即接收端可以发送（Ack，Ack + Win）区间内的数据给发送端

10.[TCP Window Update]

这种情况下，Seq，Ack，Len都没有变，唯一变的是Win大小。说明这个ACK只是表明发送端接收数据的滑动窗口更新了

一般出现这种情况，就是由于发送端的应用程序将数据从接收数据缓冲区中取出来了，导致接收缓冲区大小更新

11.关于TCP重传：

决定报文是否有必要重传的主要机制是重传计时器（retransmission timer），它的主要功能是维护重传超时（RTO）值。当报文使用TCP传输时，重传计时器启动，收到ACK时计时器停止。报文发送至接收到ACK的时间称为往返时间（RTT）。对若干次时间取平均值，该值用于确定最终RTO值。在最终RTO值确定之前，确定每一次报文传输是否有丢包发生使用重传计时器，下图说明了TCP重传过程。

当报文发送之后，但接收方尚未发送TCP ACK报文，发送方假设源报文丢失并将其重传。重传之后，RTO值加倍；如果在2倍RTO值到达之前还是没有收到ACK报文，就再次重传。如果仍然没有收到ACK，那么RTO值再次加倍。如此持续下去，每次重传RTO都翻倍，直到收到ACK报文或发送方达到配置的最大重传次数。

所以TCP RTO的值会越来越大

如图所示：

1.37527的包，在75.55s发出，期望的ack=120656

2.知道42504的包，即103.85s的时候，才收到seq=120656的包，很显然，这个ack是超时重传的，因为中间过了28s的时间

3.在75.55-103.85期间，112.90.135.235应该进行过多次重传，但是都丢失了。知道103.85这个时间点的重传，才到达了客户端

4.每次重传后，RTO的时间会变大，所以如果重传一直不成功，两次重传之间的间隔时间也会越来越大，从而导致等待数据到达时间也会越来越长

参考文章：

1.Wireshark抓包常见问题解析： http://www.xianren.org/net/wireshark-q.html

2.wireshark抓包常见提示含义解析： http://blog.csdn.net/u012398362/article/details/52276067

3.Wireshark抓包工具--TCP数据包seq ack等解读： http://blog.csdn.net/wang7dao/article/details/16805337

4.一站式学习Wireshark（四）：网络性能排查之TCP重传与重复ACK：http://blog.jobbole.com/71427/

5.wireshark中带有SLE和SRE的SACK包详解：http://blog.csdn.net/season_hangzhou/article/details/48318599

本文链接：https://blog.csdn.net/jinyongqing/article/details/53728590

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

从零开始搭建Hadoop_创建一个hadoop项目-程序员宅基地

文章浏览阅读331次。第一部分：准备工作1 安装虚拟机2 安装centos73 安装JDK以上三步是准备工作，至此已经完成一台已安装JDK的主机第二部分：准备３台虚拟机以下所有工作最好都在root权限下操作1 克隆上面已经有一台虚拟机了,现在对master进行克隆,克隆出另外2台子机;1.1 进行克隆21.2 下一步1.3 下一步1.4 下一步1.5 根据子机需要,命名和安装路径1.6 ..._创建一个hadoop项目

心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析_heartbleed代码分析-程序员宅基地

文章浏览阅读1.7k次。心脏滴血漏洞HeartBleed CVE-2014-0160 是由heartbeat功能引入的，本文从深入码层面的分析该漏洞产生的原因_heartbleed代码分析

java读取ofd文档内容_ofd电子文档内容分析工具（分析文档、签章和证书）-程序员宅基地

文章浏览阅读1.4k次。前言ofd是国家文档标准，其对标的文档格式是pdf。ofd文档是容器格式文件，ofd其实就是压缩包。将ofd文件后缀改为.zip，解压后可看到文件包含的内容。ofd文件分析工具下载：点我下载。ofd文件解压后，可以看到如下内容：对于xml文件，可以用文本工具查看。但是对于印章文件(Seal.esl)、签名文件(SignedValue.dat)就无法查看其内容了。本人开发一款ofd内容查看器，..._signedvalue.dat

基于FPGA的数据采集系统（一）_基于fpga的信息采集-程序员宅基地

文章浏览阅读1.8w次，点赞29次，收藏313次。整体系统设计本设计主要是对ADC和DAC的使用，主要实现功能流程为：首先通过串口向FPGA发送控制信号，控制DAC芯片tlv5618进行DA装换，转换的数据存在ROM中，转换开始时读取ROM中数据进行读取转换。其次用按键控制adc128s052进行模数转换100次，模数转换数据存储到FIFO中，再从FIFO中读取数据通过串口输出显示在pc上。其整体系统框图如下：图1：FPGA数据采集系统框图从图中可以看出，该系统主要包括9个模块：串口接收模块、按键消抖模块、按键控制模块、ROM模块、D.._基于fpga的信息采集

微服务 spring cloud zuul com.netflix.zuul.exception.ZuulException GENERAL-程序员宅基地

文章浏览阅读2.5w次。1.背景错误信息：-- [http-nio-9904-exec-5] o.s.c.n.z.filters.post.SendErrorFilter : Error during filteringcom.netflix.zuul.exception.ZuulException: Forwarding error at org.springframework.cloud..._com.netflix.zuul.exception.zuulexception

邻接矩阵-建立图-程序员宅基地

文章浏览阅读358次。1.介绍图的相关概念　　图是由顶点的有穷非空集和一个描述顶点之间关系-边（或者弧）的集合组成。通常，图中的数据元素被称为顶点，顶点间的关系用边表示，图通常用字母G表示，图的顶点通常用字母V表示，所以图可以定义为:　　G=(V,E)其中，V(G)是图中顶点的有穷非空集合，E(G)是V(G)中顶点的边的有穷集合1.1 无向图：图中任意两个顶点构成的边是没有方向的1.2 有向图：图中..._给定一个邻接矩阵未必能够造出一个图

随便推点

MDT2012部署系列之11 WDS安装与配置-程序员宅基地

文章浏览阅读321次。（十二）、WDS服务器安装通过前面的测试我们会发现，每次安装的时候需要加域光盘映像，这是一个比较麻烦的事情，试想一个上万个的公司，你天天带着一个光盘与光驱去给别人装系统，这将是一个多么痛苦的事情啊，有什么方法可以解决这个问题了？答案是肯定的，下面我们就来简单说一下。WDS服务器，它是Windows自带的一个免费的基于系统本身角色的一个功能，它主要提供一种简单、安全的通过网络快速、远程将Window..._doc server2012上通过wds+mdt无人值守部署win11系统.doc

python--xlrd/xlwt/xlutils_xlutils模块可以读xlsx吗-程序员宅基地

文章浏览阅读219次。python–xlrd/xlwt/xlutilsxlrd只能读取，不能改,支持 xlsx和xls 格式xlwt只能改，不能读xlwt只能保存为.xls格式xlutils能将xlrd.Book转为xlwt.Workbook，从而得以在现有xls的基础上修改数据，并创建一个新的xls，实现修改xlrd打开文件import xlrdexcel=xlrd.open_workbook('E:/test.xlsx') 返回值为xlrd.book.Book对象,不能修改获取sheett_xlutils模块可以读xlsx吗

关于新版本selenium定位元素报错：‘WebDriver‘ object has no attribute ‘find_element_by_id‘等问题_unresolved attribute reference 'find_element_by_id-程序员宅基地

文章浏览阅读8.2w次，点赞267次，收藏656次。运行Selenium出现'WebDriver' object has no attribute 'find_element_by_id'或AttributeError: 'WebDriver' object has no attribute 'find_element_by_xpath'等定位元素代码错误，是因为selenium更新到了新的版本，以前的一些语法经过改动。..............._unresolved attribute reference 'find_element_by_id' for class 'webdriver