So finden Sie verlorene Pakete mit Wireshark

Eine langsame, verzögerte Verbindung kann darauf hindeuten, dass Pakete während der Übertragung verworfen werden. Während ein gewisses Maß an Paketverlust in einigen Szenarien akzeptabel ist, kann es die Benutzererfahrung in anderen stark stören, insbesondere beim Streamen von Medien. Außerdem kann das System Pakete ganz verwerfen, um die Verzögerung auszugleichen, und Daten können dabei verloren gehen.

Hier erfahren Sie, wie Sie mit Wireshark feststellen, ob Sie es mit verworfenen oder verlorenen Paketen zu tun haben, damit Sie das Problem schnell diagnostizieren können.

Pakete verpasst? Nehmen wir sie

Wenn sich Benutzer über einen langsamen Dienst oder eine schlechte Datenübertragung beschweren, ist es logisch anzunehmen, dass Paketverluste schuld sind. Nicht alle verlorenen Pakete werden verworfen, aber eine hohe Drop-Rate kann auf verschiedene Probleme hinweisen. Hier ist der Prozess zum Überprüfen, ob Sie Pakete in Wireshark verworfen haben.

1. Öffnen Sie die Wireshark- Desktop-App .

   

2. Stellen Sie sicher, dass Sie sich im Aufnahmemodus befinden.

   

3. Suchen Sie die Statusleiste am unteren Rand des Fensters.

   

Hier sehen Sie einige Statistiken über die von Ihnen erfassten Pakete. Die Zahl neben „Dropped“ gibt an, ob Pakete verworfen wurden. In einigen Versionen erscheint der „Discarded“-Zähler nur, wenn Wireshark nicht alle Pakete erfasst hat.

Wenn Sie sicher sind, dass einige Pakete verworfen wurden, aber die Statusleiste nicht weiterhilft, finden Sie die Statistik der verworfenen Pakete wie folgt:

1. Klicken Sie in der Menüleiste auf „Statistik“.

   

2. Wählen Sie Capture-Dateieigenschaften. Ein neues Fenster wird geöffnet.

   

3. Unter Schnittstellen sehen Sie Dropped Packets. Die Zahl darunter zeigt Ihnen, wie viele Pakete nicht erfasst wurden.

   

Auch wenn Wireshark nicht alle Pakete erfasst, bedeutet das nicht, dass sie nicht übertragen wurden. Das Programm kann einfach nicht mit dem schnellen Fluss Schritt halten. Es ist jedoch immer noch in der Lage, Pakete zu bestätigen, die nicht mit einem ACK-Paket abgefangen wurden, da es sich um kleinere Pakete handelt, die leichter abzufangen sind. Daher können Sie verworfene Pakete oft identifizieren, indem Sie in der Info-Spalte nach ACKs suchen. Das ACK sagt Ihnen, dass die Daten trotz fehlendem Paket erfolgreich übertragen wurden.

Untersuchung verlorener Pakete

Nicht erfasste Pakete sind nicht gleichbedeutend mit verlorenen Paketen. Während Pakete, die Wireshark nicht erfasst hat, ihr Ziel möglicherweise noch erreichen, ist dies bei verlorenen Paketen nicht der Fall. Stattdessen werden sie in der Regel erneut übertragen und nur im schlimmsten Fall entfernt. Um verlorene Pakete in einem TCP-Segment zu untersuchen, müssen Sie die Informationsspalte auf dem Erfassungsbildschirm sorgfältig untersuchen.

1. Wählen Sie die Konversation aus, die Sie untersuchen möchten, und wenden Sie sie als Filter an. Dies ist nicht zwingend erforderlich, hilft Ihnen aber, sich einen besseren Überblick zu verschaffen.

   

2. Wählen Sie eines der Pakete aus.

   

3. Klicken Sie unter Details auf Internet Protocol Version 4.

   

4. Suchen Sie die Identifikationsnummer, klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf „Als Spalte anwenden“.

   

Jetzt können Sie die Seriennummer jeder Übertragung sehen. Überprüfen Sie die Zahlen, um Abweichungen zu finden. Denken Sie daran, dass in TCP verlorene Pakete später erneut übertragen werden können, so dass selbst wenn eine Übertragung nicht stattfindet, sie noch weiter vorhanden sein kann. Sie können es anhand der ID-Nummer finden.

Wenn ein Paket nicht übertragen werden kann, sehen Sie in der Spalte „Info“ der nächsten Zeile die Meldung „Previous Segment Not Captured“. Sie können auch in allen Konversationen nach verlorenen Paketen suchen, indem Sie sie nach dieser Fehlermeldung filtern. Geben Sie „tcp.analysis.lost_segment“ in die Filterzeile ein und drücken Sie die Eingabetaste. Sie können dies auch mit IP-Adressen- oder Konversationsfiltern kombinieren, indem Sie „und“ zwischen den beiden Filtern eingeben, um ein genaueres Ergebnis zu erhalten. Auch hier können Sie nach verlorenen Paketen suchen, nachdem Sie ihre ID-Nummern ermittelt haben.

Wie bereits erwähnt, ermöglicht TCP die spätere erneute Übertragung verlorener Segmente. Sie können den Filter „tcp.analysis.retransmission“ verwenden, um Ihre erneuten Übertragungen zu finden. Das Auffinden von erneut übertragenen Paketen kann manchmal produktiver sein als das Auffinden verlorener Segmente, da verlorene Segmente mehr als ein Paket enthalten können und erneute Übertragungen einzelne Pakete sind.

Verfolgen Sie verlorene Pakete mit Wireshark

Es ist nicht immer einfach festzustellen, ob ein Paket verloren gegangen ist oder von Wireshark verworfen wurde. Es reicht in der Regel nicht aus, nur eine Metrik zu betrachten, es müssen mehrere Faktoren berücksichtigt werden. Verworfene Pakete erreichen ihr Ziel oft unversehrt, während viele verlorene Pakete die Benutzererfahrung beeinträchtigen können.