简单用例
首先打开软件,左上角点文件,选中要分析的文件列表。
导入用tcpdump抓的包后进行分析,这里要输入过滤条件,对网络包进行一定的过滤处理。(这里172网段是阿里云的地址,用自己写的python2脚本对阿里云进行压测。)
这里输入过滤条件 tcp.port == 80 ,语法含义是只过滤80端口的网络包。
http.request.method == "POST" && tcp.port == 80 ,语法含义是过滤post请求 和 端口80。
具体分析一
分析红色区域的内容
reset set expert info warning/sequence connection reset rst
详细说明
•Sequence Connection Reset RST:
•表示 Wireshark 检测到一个 TCP 连接被 RST 信号重置了。
•TCP RST 标志:
•TCP 的 RST 标志用于重置连接。当一个 TCP 包中设置了 RST 标志位时,接收方会终止与发送方的连接。
•Wireshark 的 Expert Info:
•Wireshark 会在发现潜在问题时提供专家信息。这些信息通常分为几个级别:Note, Warning, Error。
•在本例中,"warning" 表示 Wireshark 认为此情况可能存在问题,但不一定总是错误。
•Sequence Number:
•在 TCP 连接中,每个数据包都有一个序列号,用于跟踪数据包的顺序。
•如果序列号不正确,Wireshark 会标记此包并可能提示连接重置。
可能的原因
•异常终止:
•一方可能突然关闭连接,而不是正常地进行三次握手和四次挥手的过程。
•错误的序列号:
•发送方或接收方的序列号可能不正确,导致接收方无法正确处理数据包。
•网络故障:
•网络中可能存在丢包或延迟,导致数据包丢失或乱序,进而触发 RST。
•安全设备:
有防火墙或是限速软件等,对请求进行了限制,(比如在某个时间点客户端突然发起超高并发,有可能会引起安全设备的cc防护,直接把客户端拉入黑名单,误伤正常请求)
如何处理
•检查网络状况:
•检查是否有网络设备或线路故障。
•检查应用程序行为:
•查看应用程序是否在异常情况下正确处理连接。
实际处理 因为机器性能不足导致连接失败。
具体分析二
分析黑色区域
duplicate to the ack in frame expert info note/sequence duplicate ack
分析说明
•DupACK: •当接收方收到一个失序的数据包时,它会发送一个与上次相同的 ACK,表明它还没有收到预期的序列号。•DupACK 通常意味着数据包丢失或乱序。
可能的原因
•数据包丢失:
•如果数据包丢失,接收方将不会收到预期的序列号,因此会发送重复的 ACK。
•数据包乱序:
•如果数据包到达顺序不正确,接收方也会发送重复的 ACK。(这里需要查看监控当时一瞬间的服务器连接数,进程打开的文件数等)
•网络拥塞:
•在网络拥塞的情况下,某些数据包可能会延迟到达,导致接收方发送 DupACK。(这个Dupack大部分原因还是网络拥塞,这个时候也需要查看系统的负载和iops等值)