如何分析 TCP 重传的来源

tag-icon tag-icon windows-7 networking firefox tcp wireshark
如何分析 TCP 重传的来源

我正在从 Firefox 50.0.2 请求一个 URL(因此以下情况发生在 HTTP GET 请求中),并且我正在使用自动刷新功能,超时时间为 1 秒。我观察到 TCP 重传如下:

Frame 429: 448 bytes on wire (3584 bits), 448 bytes captured (3584 bits) on interface 0
    Interface id: 0 (\Device\NPF_{F19F8E72-77DA-478F-A55F-4F609F5B150C})
    Encapsulation type: Ethernet (1)
    Arrival Time: Dec 12, 2016 15:51:28.811504000 W. Europe Standard Time
    [...]
Ethernet II, [...]
Internet Protocol Version 4
[...]
Identification: 0x3f39 (16185)
[...]
Transmission Control Protocol, Src Port: 16081 (16081), Dst Port: vcom-tunnel (8001), Seq: 10245, Ack: 35123, Len: 394
    [...]
    Sequence number: 10245    (relative sequence number)
    [...]

并紧接着

Frame 430: 448 bytes on wire (3584 bits), 448 bytes captured (3584 bits) on interface 0
    Interface id: 0 (\Device\NPF_{F19F8E72-77DA-478F-A55F-4F609F5B150C})
    Encapsulation type: Ethernet (1)
    Arrival Time: Dec 12, 2016 15:51:28.811506000 W. Europe Standard Time
    [...]
Ethernet II, [...]
Internet Protocol Version 4
[...]
Identification: 0x3f39 (16185)
[...]
Transmission Control Protocol, Src Port: 16081 (16081), Dst Port: vcom-tunnel (8001), Seq: 10245, Ack: 35123, Len: 394
    [...]
    Sequence number: 10245    (relative sequence number)
    [...]
    [SEQ/ACK analysis]
        [iRTT: 0.000387000 seconds]
        [Bytes in flight: 394]
        [Bytes sent since last PSH flag: 394]
        [TCP Analysis Flags]
            [Expert Info (Note/Sequence): This frame is a (suspected) retransmission]
                [This frame is a (suspected) retransmission]
                [Severity level: Note]
                [Group: Sequence]
            [The RTO for this segment was: 0.000002000 seconds]
            [RTO based on delta from frame: 429]
    Retransmitted TCP segment data (394 bytes)

如你看到的:

  • 两个帧具有相同的序列号
  • 帧数仅增加 1
  • 时间增加 2 微秒 (.811504000 / .811506000)
  • Wireshark 将第二个数据包检测为 TCP 重传

我如何找到这次重发的来源?

  • Wireshark 中有错误吗?(版本 2.2.2 (v2.2.2-0-g775fb08))
  • WinPCap 驱动程序中有一个错误?(版本 4.1.3)
  • Firefox 中存在错误?(版本 50.0.2)

附加信息:

  • 我看到这些线的距离为 1 秒,因此总是有一条绿线(HTTP)和一条黑线(TCP 重传)或一条灰线(TCP)和一条黑线(TCP Dup ACK)
  • 我在使用 Windows 7 SP1 x64。
  • 我正在对我感兴趣的 TCP 端口使用 Wiresharp 捕获过滤器
  • 我正在使用 Wireshark 显示过滤器来处理 HTTP
  • 我正在监控没有 IP 地址的外部 USB 以太网接口上的流量。
  • 该适配器连接到我的 HP 1820-8G 交换机的镜像端口。它配置为单向,即我只能接收数据包。
  • 我的无线连接以及任何其他连接(蓝牙、VMWare)均已禁用(适配器已禁用),当然,只有我的 LAN 适配器和 USB 适配器已启用

这是我的设置:

Wireshark 设置

我努力了:

  • 关闭并打开 HP 1820-8G 交换机
  • 卸载 WinPCap
  • 升级到 Wireshark 2.2.3 并重新安装 Wireshark 自带的 WinPCap 4.1.3

相关内容