如何在Wireshark中识别重传的TCP段？

Posted 2023-03-23

【中文标题】如何在Wireshark中识别重传的TCP段？

【英文标题】：How to identify the retransmitted TCP segment in Wireshark?

【发布时间】：2021-12-30 18:27:34

【问题描述】：

我很困惑在 Wireshark 捕获的段中识别重新传输的 TCP 段。是否有任何注释表明 Wireshark 中的段是重传的？

【问题讨论】：

我不确定您的问题是什么。重新传输在 Wireshark 中有明确的标记。当然，Wireshark 也需要观察原始片段，否则它无法确定这是重传，而不仅仅是延迟交付。

对不起，我的声明可能会导致歧义。我很少在WireShark中得到黑色背景的重传，所以我怀疑是否有其他方法可以识别重传而不是不重传。现在我明白了。

【参考方案1】：

为了让wireshark将一个段识别为重传段，它必须在pcap文件中识别两个数据包（原始的和重传的）。

例如，如果您在接收端点上嗅探某个数据包，您可能只会看到重新传输的实例（有时，尽管并非总是如此，但重新传输会由于数据包未到达目的地而发生）。在这种情况下，wireshark 只会看到数据包的一个实例，并且不会知道它被重新传输。

如果 pcap 文件中确实有两个数据包（例如，对于上面的示例，但嗅探数据包的来源），wireshark 会识别它。

wireshark 标记 TCP 重传的方式因 WS 版本而异，但在后来的版本中，它通常默认为黑色（无论如何，您总是可以在 TCP 下的“专家信息”字段中看到）。