使用wireshark分析tcp/ip报文之报文头

以太网报文的结构如下：

其中，以太网的帧头：

14 Bytes：MAC目的地址48bit（6B），MAC源地址48bit（6B），Type域2B，一共14B。

IP头部：

TCP头部：

 

http://blog.163.com/tianshuai11@126/blog/static/618945432011101110497885/

http://www.cnblogs.com/zhuzhu2016/p/5797534.html

也就是报文的头部一共有54字节。下面以一个简单的http请求查看以太网报文的实际情况，如下：

 

 

 

报文头54字节的内容如下：

 

应用数据，就是tcp segment，本tcp报文体长度tcp segment len。

对于tcp流，在wireshark中，可右键报文条目，追踪流自动踢掉头部信息，如下：

这样可以只显示报文体数据，如下：

 这样，明显对于文本流比如HTTP，完全可以分析简化很多。

 wireshark中和ACK一起的PSH标志，参见https://blog.csdn.net/knight3396/article/details/46894803。

Tcp Dup Ack异常报文是指TCP协议收到了相同的ACK序号的确认报文，这通常表示某个数据包在传输过程中丢失了。发送端会重新发送丢失的数据包，直到收到正确的确认为止。Tcp Dup Ack异常报文可能由以下原因导致：

• 网络拥塞或延迟，导致数据包乱序或超时到达。
• 接收端缓冲区满，导致数据包被丢弃。
• 防火墙或其他设备过滤掉了某些数据包或ACK包。

Tcp Dup Ack异常报文可能会影响TCP的性能和可靠性，因为它会触发重传机制，增加网络负载和延迟。为了解决Tcp Dup Ack异常报文的问题，可以采取以下措施：

• 检查网络链路的质量和稳定性，排除故障和干扰源。
• 调整TCP的参数和算法，如窗口大小、重传超时、拥塞控制等。
• 检查防火墙或其他设备的配置和规则，避免过滤掉正常的数据包或ACK包。

Wireshark抓包[TCP ACKed unseen segment]和[TCP Previous segment not captured]的含义

　　在Wireshark抓取TCP数据包时，Wireshark会自动标记每个数据包的作用。但有时会出现[TCP ACKed unseen segment]和[TCP Previous segment not captured]标记。出现这两个标记意味抓取的TCP握手包和挥手包不完整。由于TCP连接和断开需要分别经历三次握手和四次挥手。如果Wireshark在这个过程中开启抓包或者结束抓包，就会导致抓包不完整，出现以上提示信息。

———————Wireshark协议分析词典