事象
Wiresharkでパケットをキャプチャしたところ以下でエラーとして扱われていて
[Coloring Rule Name: Bad TCP] [Coloring Rule String: tcp.analysis.flags && !tcp.analysis.window_update]
該当のパケットには以下のようなメッセージが記されている。
..."TCP","64","[TCP Retransmission] XX → XX [PSH, ACK] Seq=1 Ack=1 Win=XX Len=XX"
..."TCP","66","[TCP Dup ACK 21#1] xx → xx [ACK] Seq=55 Ack=11 Win=xx Len=0 SLE=1 SRE=11"
環境情報
- Wireshark 3.2.2
- Windows10⇔WindowsServer2016
原因
同一のパケットが二重で送付されている。
確認方法は連続しているパケットのInternet Protocolにて
Internet Protocol Version 4, Src: XX, Dst: XX
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: xx
Identification: 0x18c5 (6341)
Flags: 0x4000, Don't fragment
Fragment offset: 0
Time to live: 128
...というパケットの次に同一Identification&Time to liveが小さくなっているパケットが存在する。
Internet Protocol Version 4, Src: XX, Dst: XX
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: xx
Identification: 0x18c5 (6341)
Flags: 0x4000, Don't fragment
Fragment offset: 0
Time to live: 127
...以下、補足です。
補足
パケットの再送が起きていることによって通信パフォーマンスが悪化している事象をパケットキャプチャで観測しました。
解析のために「分析」→「エキスパート情報」を確認すると以下がエラーとして頻発していました。
再送が起きているため通信状況が悪い可能性を疑いましたが、「統計」→「TCPストリーム」→「合計往復時間」を見ると10ms程度で推移していたので別に原因があると調査を続けたところ同一パケットが送付されていることが分かりました。
TTLが減少しながら再送が起きている場合はL3レイヤーでの不具合&サブネットマスクの設定を確認すべし、とのことです。逆に、TTLが減少していない場合はL2レイヤーで挙動がおかしいみたいです。
以上、同様の事象が発生している方の参考になれば幸いです。
