Ich verwende derzeit den folgenden Befehl in Linux, um Einzelheiten zu Netzwerkproblemen zu erhalten.
tshark -r file.pcap -q -z io,stat,1,\
"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission",\
"COUNT(tcp.analysis.duplicate_ack)tcp.analysis.duplicate_ack",\
"COUNT(tcp.analysis.lost_segment) tcp.analysis.lost_segment",\
"COUNT(tcp.analysis.fast_retransmission) tcp.analysis.fast_retransmission"
Dies gibt eine schöne Tabelle mit vielen guten Informationen aus. Ich würde jedoch gerne wissen, welche anderen Spalten ich hinzufügen könnte, um weitere Dinge wie falsche Prüfsummen und etwas zu erhalten, das möglicherweise auf eine Netzwerküberlastung hinweist. So ziemlich alles, was nötig ist, um auf Leistungsprobleme hinzuweisen.
Antwort1
Netzwerküberlastungen werden normalerweise von TCP selbst gut bewältigt, indem entwederlangsamer Start, Vermeidung von Staus, oderschnelle erneute Übertragung / schnelle WiederherstellungAlgorithmen beschrieben inRFC 2581. TCP versucht, das Problem zu beheben, bevor es zu erheblichen Überlastungen kommt.
Wenn Sie sich in einem ganz besonderen Fall befinden, können Sie die RTT-Messung und ihre Varianz hinzufügen, die Fenstergröße des Absenders (cwnd) verfolgen und das Auftreten der CWR- und ECE-Flags verfolgen.
PS: Die Prüfsummenverarbeitung wird üblicherweise auf den NIC-Treiber ausgelagert, sie ist also kein guter Messwert zur Überwachung, da sie in libpcap-basierten Tools als fehlerhaft angezeigt wird.