wireshark抓包：错误分析

• 拖了太久了，浅记一部分，先下班

 工具：wireshark

• 常用wireshark过滤规则：

1、地址过滤
	ip.src 源
	ip.dst 目的
	ip.host 解析后数据
	ip.addr 某一地址
	(过滤IPv6使用ipv6.*)
	ip.addr > && ip.addr < 显示地址范围
2、端口过滤
	协议.port==端口，过滤出相关协议数据包
* DHCP过滤
	DHCPv4使用bootp语法过滤，IPv6不是基于bootp的，使用DHCPv6
3、过滤单一的TCP/UDP会话：
	Packet List右击，选择Conversation Filter|TCP/UDP
4、追踪流
	右击某一会话：Fallow Stream

一、响应问题：

1、大量重传：

重传很久对方才响应，正常的时候没有重传：可能是由于网络不稳定，在中间设备抓包查看丢包位置

大量重传和dup ack，链路中应该是有丢包，镜像流量方便排查
2、响应慢：查对方

TCP Keep-Alive:保活探测机制。避免由于连接双方都处于空闲状态时，其中任一方出现故障，另一方不知情会一直维持链接，造成的资源消耗以及有可能导致在一个无效的数据链路层面发送业务数据，发送失败的结果。

负载设备转发问题：
1、内存、磁盘、CPU使用情况
2、查询日志是否有告警
3、配置问题
F5 in向主动drop：
1.收到的数据包VLAN ID与接口所在VLAN 不匹配
2. 未知数据类型
3. 上联设备端口泛洪包
服务器响应慢：
1、客户端通过ping、curl方式排除是客户端还是服务器的问题
2、查看服务器负载情况、磁盘情况、内存、日志、应用程序有无异常
3、数据库连接数、活跃线程、查询效率
4、文件服务器、缓存服务器负载情况、磁盘情况、内存、日志、应用程序有无异常

二、建立连接失败：

（以在负载均衡设备上抓包为例）
1、服务器无响应：（Performance L4类型VS，6-9号包客户端>F5>服务器，没有问题）
F5转址之后发给服务器，服务器没有响应，F5发送RST断开连接

客户端经过F5后给后端服务器发送了syn的包，服务器没有回应
F5在发送三次重传后仍没有收到服务器回报，主动发送RST断开连接，设备转发没有问题，页面错误为504提示服务器没有回应，是否有墙拦截


2、中间设备MAC地址有误： 查看设备mac是否正确，此情况为中间设备是否转包有问题，建议从中间设备抓包查一下mac.



3、路由指向问题：

返回了错误的VLAN（id 为16），负载设备上没有此VLAN（F5向后端发送VLAN id为12）

三、DOS问题：

由于当时受到单个用户同一源端口发的DNS包，高峰期在每秒125krps，这样流量户到同一个cpu 上造成设备性能支持不住。

WireShark报文相关信息参考之前文章：

https://blog.csdn.net/qq_43148894/article/details/120038136?spm=1001.2014.3001.5502