如何使用 tcpdump 捕获重传数据包信息?

如何使用 tcpdump 捕获重传数据包信息?

主机上的 TCP 重传率通常是网络问题的良好指标。如何找出正在重传的数据包的源 IP 和目标 IP?

就上下文而言,在安装了 sar 的主机上,可以看到如下重新传输率:

sar -n ETCP

10:11:02 AM  atmptf/s  estres/s retrans/s isegerr/s   orsts/s
10:12:01 AM      0.07      1.95      0.08      0.00      1.18
10:13:01 AM      0.07      1.30      0.02      0.00      0.83
10:14:01 AM      0.07      1.40      0.02      0.00      0.85

答案1

要查找源 IP 地址和目标 IP 地址,您可以执行以下操作

tshark -Y "tcp.analysis.retransmission" -Tfields -e ip.src -e ip.dst

(或者在旧版本的“tshark”中使用 -R)但这不会为您提供“重传率”。我不得不说,“重传率”本身并不是衡量网络问题的良好指标,除非您知道重传的原因。Wireshark 可以提供帮助,但通常需要一些手动处理才能找到根本原因。

相关内容