聊聊 wireshark 的重传包和重复包(Duplicate Packets or TCP Retransmissions?)

简介: 聊聊 wireshark 的重传包和重复包(Duplicate Packets or TCP Retransmissions?)

聊聊 wireshark 的重传包和重复包(Duplicate Packets or TCP Retransmissions?)

1 背景

最近某客户在推进全栈信创,其中操作系统使用了鲲鹏(arm)+麒麟V10,数据库使用了OceanBase, 大数据平台使用了星环TDH,JDK使用了龙井1.8。

在使用 datax 从 ob 同步数据到 hdfs 的过程中,我们发现 arm 版的 JDK 消耗的堆空间比 x86 的 JDK 大很多(400万数据,前者大概需要8G,而后者只需要2G)。

为分析原因,除了排查 JVM 堆栈信息,为排除网络影响,我们还通过 tcpdump 在 datax 节点进行抓包,并导出到 wireshark 中进行分析。

抓包命令如下:tcpdump -i any -nn -s 100 "port 2883 or port 8020" -w /tmp/ob.pcap;

2 现象-虚惊一场

将 pcap 包导出并使用 wireshark 打开后,在 "packet list"面板和“expert info” 中,都可以发现,wireshark 对大量的 TCP 数据包,都进行了“重传”,“快速重传”,“DUP ACK” 的标识,如下图所示:

  • This frame is a (suspected) fast retransmission
  • This frame is a (suspected) retransmission
  • Duplicate ACK

640.png640.png


因为这是使用了万兆网卡的 LAN 内网环境,wireshark 显示的 RTT 和 RTO 也都在几十微秒左右, 所以网络情况应该是良好的,如此多的重传包,严重不合理呀!

640.png640.png

进一步在 “packet details”中,对比查看重传包/Duplicate ACK 和对应的原始包,才发现,这些包的除了 TCP SEQ/ACK 完全一致,IP Identifiation 也完全一致!虚惊一场,原来这些包是 Duplicate Packets,网络是没有问题的!

640.png640.png

  • 对于 “duplicate ip packet”,Wireshark 就经常错误诊断并标识为 "TCP Retransmission","TCP Fast Retransmission","TCP Spurious Retransmission" ,"TCP Out-of-Order",或 “Duplicate ACK”;
  • 所以说,Wireshark 中的提示信息,也不一定任何时候都是正确的,我们不能无脑相信,而是需要结合 TCP 的工作机制,仔细甄别。

3 技术背景- TCP retransmition,Layer 3 loop, Layer 2 duplicate

以下三种包很容易引起混淆:

  • TCP retransimition (一般是超时等网络问题);
  • Layer 3 loop(三层网络环路,一般是网络拓扑和配置问题);
  • Layer 2 duplicate (二层重复包,可能是网络端口镜像和linux cooked capture 抓包方式问题,当然也有可能是网络设备的软或硬件问题);

640.png

三者各自的特点和区别概括如下:

  • TCP retransimition: TCP SEQ/ACK 一致,IP ID 不一致;(TCP层面遇到问题需要重传,此时TCP将包交给IP层后,IP层会封包并给与新的IP ID);
  • Layer 3 loop:TCP SEQ/ACK 一致,IP ID 一致,但 TTL 不一致(三层网络环路,数据包传输过程中,每经过一跳,其ttl 值就会被路由器减1);
  • Layer 2 duplicate:数据包所有字段完全一致,包括TCP SEQ/ACK,IP ID,以及 TTL;

640.png

4 如何清理去掉二层的重复包

当遇到了二层的重复包且底层原因是 linux cooked caputre等抓包方式引起的问题时,可以使用工具去掉重复包,此后 wireshark 显示的数据包就更清爽了,更方便进一步分析了。

安装 wireshark 时,一般也一并安装了 editcap 工具,可以使用该工具编辑并去掉 duplicate packet。该工具底层会对比指定大小窗口内所有数据包的MD5是否相同,若相同则丢弃重复的包:

  • 示例命令如下:editcap.exe -d infile.pcap outfile.pcap
  • 如果 editcap 默认的dup 窗口参数不合适,-D 和 -w 修改;

640.png

640.png

相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
应用服务中间件 nginx 数据安全/隐私保护
nginx中session ticket重用Session提高https性能分析
使用session ticket机制可以提高ssl握手的效率,并节约有效的服务器计算资源
16489 0
|
监控 负载均衡 网络协议
TCP重传与超时机制:解锁网络性能之秘
TCP重传与超时机制:解锁网络性能之秘
4690 0
|
网络协议 网络架构
什么是TCP重传?
【4月更文挑战第12天】
1960 3
|
tengine 网络协议 应用服务中间件
WAF-HTTPS [Encrypted Alert]断开连接
WAF-HTTPS [Encrypted Alert]断开连接
17040 0
WAF-HTTPS [Encrypted Alert]断开连接
|
存储 NoSQL Linux
linux之core文件如何查看和调试
通过设置和生成 core 文件,可以在程序崩溃时获取详细的调试信息。结合 GDB 等调试工具,可以深入分析 core 文件,找到程序崩溃的具体原因,并进行相应的修复。掌握这些调试技巧,对于提高程序的稳定性和可靠性具有重要意义。
8227 6
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
1061 5
|
网络协议
Wireshark的Out_of_Order Retransmission
    今天用WireShark抓包,发现下面两个问题:TCP Out_of_Order和 TCP Retransmission   TCP Out_of_Order的原因分析:     多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的电脑上面。
4096 0
|
运维 监控 安全
什么是NetDevOps
总之,NetDevOps是一种综合性的方法,旨在将DevOps原则引入网络运维领域,通过自动化、持续交付、基础设施即代码等实践,
1120 1
|
存储 Shell 网络安全
|
域名解析 存储 网络协议
基于 Wireshark 分析 UDP 协议
基于 Wireshark 分析 UDP 协议