包不会说谎——好吧,大多数情况下。
他们说真话,除非他们被错误地抓住了。在这种情况下,数据包可能会说粗话。
在挖掘跟踪文件时,我们可以发现包中的症状,可能会引起眉毛。这些事件表面上看起来很奇怪,甚至可能暂时转移我们的故障排除重点。事实上,这些问题中的一些已经误导了工程师几个小时,甚至几天,导致他们追踪根本不存在的问题和事件。
大多数的这些例子可以避免只需通过捕获网络测试接入点(TAP)而不是生成流量的计算机。
非常大的包
在大多数情况下,数据包不应该大于以太网的最大值1518字节,或者链路MTU设置的值。这是除非我们使用802.1Q标签或在一个巨型帧环境。
如何可能拥有大于以太网最大容量的数据包?简单地说,我们要在他们被NIC破坏之前抓住他们。现在许多TCP/IP堆栈使用TCP分段卸载,这将分段包的负担委托给NIC。WinPcap或Libpcap驱动程序在这个过程发生之前捕获数据包,所以有些数据包可能看起来太大而不合法。如果在电线上捕捉到同样的活动,那么大的画面就会被分解成几个较小的画面以便运输。
> Download Now: TAP vs SPAN [Free whitepaper]"}" data-sheets-userformat="{"2":15233,"3":{"1":0},"10":1,"11":4,"12":0,"14":[null,2,0],"15":"Open Sans","16":8}" style="color: #45a142;">现在下载:TAP vs SPAN[免费白皮书]
0三角洲乘以
零增量时间意味着数据包之间没有可测量的时间。当这些数据包进入捕获设备时,它们的时间戳与最近的数据包相同,具有可测量的增量时间。捕获设备的输入时间戳无法跟上数据包的负载。处理步骤如果用服务器外部的TAP捕获这些数据包,我们可能会看到正确的时间戳。
以前的数据包未捕获
这个警告是因为Wireshark解释了TCP流中的一个间隙。它可以根据顺序的数字确定数据包丢失了。有时这是由于上游数据包丢失造成的。然而,这也可能是分析器或SPAN由于无法跟上负载而丢弃数据包的症状。
提示-在此警告之后,查找一系列的重复的ACK数据包,然后是一个无序的数据包。这表明数据包确实丢失了,需要重新传输。如果您没有看到重传或无序包,那么分析器或SPAN可能无法跟上数据流。包裹在电线上,但我们没看见。
TCP加密的不可见段
在这种情况下,我们看到一个未捕获的数据包的确认。数据包可能走了不同的路径,或者捕获设备根本没有捕获它。
最近,我在从交换机、路由器和防火墙捕获的跟踪文件中看到了这些事件。由于捕获流量的优先级低于转发,设备只是错过流中的一些帧。因为我们看到了确认,所以我们知道数据包确实到达了目的地。
在大多数情况下,包裹会告诉你真相。它们可以引导我们找到网络和应用程序问题的根本原因。由于它们提供了如此清晰和详细的数据,因此我们尽可能在电线附近捕获它们是非常重要的。这意味着在传输过程中捕获它们,而不是在服务器本身上捕获它们。这将帮助我们避免在错误的否定上浪费时间。
希望向您的下一个部署添加一个可见性解决方案,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务-这是我们喜欢做的!
