抓包
你这张图是 Wireshark 中的 “专家信息(Expert Info)”面板,列出了分析期间检测到的问题类型。我们逐条来看:
https://cloud.tencent.com/developer/article/1967696
🧠 分析汇总(按严重性)
🔴 Error: Malformed Packet (Exception occurred)
-
说明:有一个格式非法或 Wireshark 无法正常解析的包。
-
协议显示为
PRP,这是一种工业用冗余协议(Parallel Redundancy Protocol)。 -
处理建议:
-
如果你不在使用工业自动化设备,可以忽略。
-
如果网络中确实有 PRP,建议更新 Wireshark 或检查采集网卡支持。
-
查看该包的详细内容(编号、原始数据),确认是否误判或是抓包损坏。
-
🟡 Warning: Previous segment(s) not captured (common at capture start)(118 次)
-
说明:TCP 流中某个包确认了“之前没看到”的 segment(抓包未从连接开始)。
-
处理建议:
-
抓包没有包含完整 TCP 三次握手或连接初期。
-
不影响分析 TCP 是否有问题,但可能影响重组流内容。
-
🟡 Warning: ACKed segment that wasn't captured (common at capture start)(158 次)
-
说明:Wireshark 看到一个 ACK,但它确认的数据包未出现。
-
处理建议:
-
同样是抓包时丢了上游流量,可能是单边抓包或过滤条件导致未抓全。
-
如果频繁出现在中段/尾段,也可能是数据包丢失或设备旁路未完整镜像。
-
🔵 Note: ACK to a TCP keep-alive segment(586 次)
-
说明:捕获到了 TCP Keep-Alive 的 ACK 回复。
-
背景:某些应用(如数据库连接、Agent)使用 TCP keep-alive 维持长连接。
-
处理建议:
-
属于正常行为。只要没有 KeepAlive 导致连接关闭或被中断,就不需处理。
-
🔵 Note: Duplicate ACK(148 次)
-
说明:ACK 重复,说明对方多次确认相同的 seq。
-
原因可能是:
-
网络层丢包,对端多次重传。
-
TCP 快速重传(Fast Retransmit)机制被触发。
-
-
处理建议:
-
关注是否有大量
tcp.analysis.retransmission报文。 -
检查是否存在网络波动、buffer 压力、拥塞。
-
🔵 Note: TCP keep-alive segment(704 次)
-
说明:这是发送方发出的 keep-alive 探测包。
-
处理建议:无需操作,除非你看到连接异常被切断或 reset。
✅ 总结分类判断
| 类型 | 是否异常 | 说明 |
|---|---|---|
Malformed Packet |
⚠️(可能) | 仅 1 个,关注该包是否采集异常或协议未知 |
Previous segment(s) not captured |
✅ 正常 | 抓包没从连接开始 |
ACKed segment not captured |
✅ 正常 | 抓包缺 segment,可通过重新抓包改进 |
Duplicate ACK |
⚠️ 需观察 | 如果多次重复,可能是 TCP 丢包重传信号 |
TCP KeepAlive |
✅ 正常 | 应用层维护连接行为,无需处理 |
🧪 是否存在实际问题?
基于目前:
-
有 TCP segment 未捕获
-
有 ACK 对未捕获段
-
有部分 Duplicate ACK(需结合是否 retransmission)
-
但未提示 Retransmission 或 Reset
✅ 说明连接大概率未被强制断开,但存在一定网络不稳定或包未完整捕获。
✅ 建议下一步
| 操作 | 命令 |
|---|---|
| 检查是否有 TCP 重传 | tcp.analysis.retransmission 过滤器 |
| 抓取整个连接过程 | 从连接建立前开始抓 |
| 抓包条件优化 | 抓双向流量、去掉端口过滤或改为 host x.x.x.x |
| 分析 malformed packet 内容 | 定位 PRP 包编号,查看是否抓包损坏或设备异常 |
如你希望:
-
精准定位 Duplicate ACK 是否触发了 Fast Retransmit
-
生成图表统计这些 segment 间隔与丢包时间
-
帮你生成新的抓包参数脚本
可继续上传 .pcap 原始文件或提供详细应用场景。我可逐帧分析确认。
浙公网安备 33010602011771号