1 、关闭TCP延迟确认提高速率
vim /etc/sysctl.conf
net.ipv4.tcp_delack_min=0
tee -a /etc/sysctl.conf
sysctl -p
windows系统
HKEY_LOCAL_MACHINE\SYSTEM\CurrenControSet\Services|Tcpip\Parameters\Interfaces
tcpAckFrequency=1 (DWORD(32位))
TCPNoDylay=1 (DWORD(32位))
2、改TCP三次握手用0和1进行直观显示
edit---preference---protocols---tcp---relative sequence number启用
过滤超过200毫秒延迟的包
tcp.analysis.ack_rtt>0.2 and tcp.len==0
查重传失败的
(tcp.flags.reset1)&&(tcp.seq1)
再跟踪tcp流
Fllow TCP stream跟踪一下
重传的握手请求
(tcp.flags.syn==1) && (tcp.analysis.restransmission)
再跟踪tcp流
Fllow TCP stream跟踪一下
3、看syn请求包ddos攻击
analyze---expert info---chats
4、常用
看带宽
statistics-summary
看网络状态
analyze-export infos---notes
看60秒中数据有没有波动
statistics---tcp streamgraph ---tcp sequence graph(stevens)
看哪个协议占的比例高,如广播
staistics----prototol hierarchy看协议分协议
看哪个源目IP数据包占比高
staistics---conversations