Wireshark上的TCP窗口缩放
Wireshark上的TCP窗口缩放
提问于 2018-12-30 15:48:31
我是新到Wireshark,并希望找到窗口缩放,这是接收窗口的大小,如果我没有弄错。
我有一个大约110 my的转储文件,用于我的图形。这是用于数据包分析的系统与FTP服务器之间的通信量,初始系统在那里请求一个大文件。
我必须显示只来自FTP服务器的接收窗口的窗口缩放图,并对它们的大小做一些假设。
我对Wireshark的行动是:
- 加载转储文件
- 查找TCP 3-ack数据包。
- 之后选择第一个tcp数据包。
- Go统计-> TCP流图->窗口缩放
- 我得到一个空白窗口缩放窗口,如下:
- 然后,我单击2次Stream,从0增加到2,然后得到以下窗口缩放窗口:
147.102.222.211是FTP服务器,195.251.211.87是初始系统。
我的问题是:
- 如何将接收到的窗口仅限于来自FTP服务器的窗口?我应该只留下下面选中的Rcv胜利复选框吗?
- 如何通过查看图表顶部的绿色点来找出接收到的窗口大小大于200 KB的图形中的时间/位置?
- 为什么接收到的窗口是这样的大小而不是默认的(我认为) 65 KB?似乎大多数都是200 KB以上?为什么会发生这种情况?
回答 1
Network Engineering用户
回答已采纳
发布于 2018-12-31 13:41:10
我想我需要先解释几个术语:
- 流-这是TCP会话。当Wireshark在读取文件时找到其第一个数据包时,每个TCP会话都会得到一个分配的号码,因此Stream 0是第一个TCP会话,1个是第二个,2个是第三个(在您的例子中,它是FTP数据传输)。流是双向的,因此它包含涉及到的两个节点的数据包。
- Rcv Win -此复选框告诉图形绘制接收窗口值,这是您感兴趣的,因此需要检查它
- 字节输出-此复选框告诉图形将吞吐量绘制到图中,这是在您的情况下的蓝点。
好吧,让我们看看:
- 在第一个屏幕截图中,您有流0,这是一个HTTP流,可能只有一个包,这就是为什么图是空的。没有捕获文件就有点难分辨了。
- 要回答第一个问题:要将接收到的窗口值限制为来自FTP服务器的窗口值,您需要选择正确的流(如第二个屏幕快照所示,流2 ),然后选择正确的方向。这是因为TCP连接中的每个节点都有自己的窗口值,您的第二个图表显示了从FTP服务器到客户端的数据流(如图标题中的->箭头所示)--这意味着它显示来自服务器的字节和客户端的窗口值,因为它们一起工作。如果要查看服务器的窗口值,请单击“切换方向”按钮,查看另一个方向,其中客户端发送字节,服务器公告其窗口大小。
- 第二个问题:看上去它的峰值在250 it左右,如图所示
- 64 be (65535字节)的窗口大小不再是默认的(与以前一样)--它可以大得多(通过TCP选项),也可以保持更小,这取决于需求是什么。在您的示例中,大约250 is的窗口是客户端使用的,因为它计算出它是从服务器接收数据的最有效的大小。最佳窗口大小的计算是基于时延和吞吐量的。
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://networkengineering.stackexchange.com/questions/55749
复制相关文章
相似问题
腾讯云开发者
