Как отфильтровать наиболее распространенные проблемы с tcpdump/tshark

Question

Как отфильтровать наиболее распространенные проблемы с tcpdump/tshark

В настоящее время я использую следующую команду в Linux, чтобы получить подробные сведения о проблемах сети.

tshark -r file.pcap -q -z io,stat,1,\

"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission",\

"COUNT(tcp.analysis.duplicate_ack)tcp.analysis.duplicate_ack",\

"COUNT(tcp.analysis.lost_segment) tcp.analysis.lost_segment",\

"COUNT(tcp.analysis.fast_retransmission) tcp.analysis.fast_retransmission"

Это приводит к хорошей таблице с большим количеством хорошей информации. Тем не менее, я хотел бы знать, какие еще столбцы я мог бы добавить, чтобы получить больше таких вещей, как неправильные контрольные суммы и что-то, что могло бы указывать на перегрузку сети. Почти все, что нужно, чтобы указать на проблемы с производительностью.

2

networking tcp tcpdump tshark

Источник

user53029 02 мар '15 в 14:20

1 ответ

Другие вопросы по тегам networking tcp tcpdump tshark

Xavier Lucas 16 мар '15 в 23:27 2015-03-16 23:27 · Answer 1 · 2015-03-16 23:27

Перегрузка сети обычно хорошо обрабатывается самим протоколом TCP с использованием алгоритмов медленного запуска, предотвращения перегрузки или алгоритмов быстрой повторной передачи / быстрого восстановления, описанных в RFC 2581. TCP попытается исправить ситуацию до того, как произойдет значительная перегрузка.

Теперь, если вы находитесь в очень конкретном случае, вы можете добавить измерение RTT и его отклонение, отследить размер окна отправителя (cwnd) и отследить появление флагов CWR и ECE.

PS: Обработка контрольной суммы обычно выгружается в драйвер NIC, поэтому она не будет хорошей метрикой для мониторинга, поскольку в инструментах на основе libpcap она будет повреждена.