Actualmente estoy usando el siguiente comando en Linux para obtener detalles sobre problemas de red.
tshark -r file.pcap -q -z io,stat,1,\
"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission",\
"COUNT(tcp.analysis.duplicate_ack)tcp.analysis.duplicate_ack",\
"COUNT(tcp.analysis.lost_segment) tcp.analysis.lost_segment",\
"COUNT(tcp.analysis.fast_retransmission) tcp.analysis.fast_retransmission"
Esto genera una buena tabla con mucha buena información. Sin embargo, me gustaría saber qué otras columnas podría agregar para obtener más cosas, como sumas de verificación incorrectas y algo que podría indicar una congestión de la red. Prácticamente cualquier cosa necesaria para señalar problemas de rendimiento.
Respuesta1
La congestión de la red suele ser bien manejada por el propio TCP utilizando cualquiera de los dosarranque lento, evitación de congestión, oretransmisión rápida / recuperación rápidaalgoritmos descritos enRFC 2581. TCP intentará arreglar las cosas antes de que ocurra una congestión significativa.
Ahora, si se encuentra en un caso muy particular, puede agregar la medida RTT y su variación, rastrear el tamaño de la ventana del remitente (cwnd) y rastrear la apariencia de las banderas CWR y ECE.
PD: el procesamiento de suma de comprobación normalmente se descarga en el controlador NIC, por lo que no será una buena métrica para monitorear, ya que aparecerá roto en las herramientas basadas en libpcap.