TCP三次握手故障分析
握手失败一般分两种类型,要么被拒绝,要么是丢包了。用两道过滤表达式可以定位出大多数失败的握手。
表达式1:(tcp.flags.reset == 1) && (tcp.seq == 1)
过滤出Seq号为1,且含有Reset标志的包,在启用Relative Sequence Numbers以后,就可以用来过滤握手请求被对方拒绝的数据。再通过Follow TCP Stream就可以把失败的全过程显示出来。
表达式2:(tcp.flags.syn == 1) && (tcp.analysis.restransmission)
这道表达式可以过滤出重传的握手请求。一个握手请求之所以要重传,往往是因为对方没收到,或者对方回复的确认包丢了。同样通过Follow TCP Stream就可以把失败的全过程显示出来。