我有一台运行 Ubuntu 和 tshark 的计算机的 Wireshark 日志。该计算机有两个 NIC,我已将它们连接到桥接器(使用/etc/network/interfaces),并为该桥接器指定了一个静态地址。然后我运行 tshark 以在所有接口(在特殊的“所有设备”上,对于桥接器来说应该是 eth0、eth1 和 br0)上以 promisc 模式记录流量。
现在我正在调查日志,发现几乎一半(或多或少)的流量被归类为 TCP 重传或重复 ACK。我们遇到了一些严重的网络问题,但并非总是如此。
当我查看重新传输的数据包时,它们通常是在“原始”数据包发送后立即发送的(以毫秒或更短时间为单位)。我认为这比网络中的重新传输延迟要小得多。
我提出了一个假设,希望能够证实。由于计算机有两个网卡桥接在一起并以混杂模式记录,因此它会处理所有数据包,并且每个数据包在 eth0 上接收时都会被记录一次,在通过 eth1 进一步传输时会再次被记录。该毫秒延迟可能是用于处理或机器上的其他操作。
除以太网帧号外,可疑数据包均相同。
你觉得我的假设怎么样?我该如何证明/反驳它?