(O+P)ut

アウトプット



(O+P)ut

OutPut Log

【Wireshark】良好な通信状況でTCP Restranmissionが頻発している事象

スポンサーリンク

事象

Wiresharkでパケットをキャプチャしたところ以下でエラーとして扱われていて

[Coloring Rule Name: Bad TCP]
[Coloring Rule String: tcp.analysis.flags && !tcp.analysis.window_update]

該当のパケットには以下のようなメッセージが記されている。

..."TCP","64","[TCP Retransmission] XX → XX [PSH, ACK] Seq=1 Ack=1 Win=XX Len=XX"
..."TCP","66","[TCP Dup ACK 21#1] xx → xx [ACK] Seq=55 Ack=11 Win=xx Len=0 SLE=1 SRE=11"
環境情報
  • Wireshark 3.2.2
  • Windows10⇔WindowsServer2016

原因

同一のパケットが二重で送付されている。

確認方法は連続しているパケットのInternet Protocolにて

Internet Protocol Version 4, Src: XX, Dst: XX
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: xx
    Identification: 0x18c5 (6341)
    Flags: 0x4000, Don't fragment
    Fragment offset: 0
    Time to live: 128
 ...

というパケットの次に同一Identification&Time to liveが小さくなっているパケットが存在する。

Internet Protocol Version 4, Src: XX, Dst: XX
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: xx
    Identification: 0x18c5 (6341)
    Flags: 0x4000, Don't fragment
    Fragment offset: 0
    Time to live: 127
 ...

以下、補足です。

補足

パケットの再送が起きていることによって通信パフォーマンスが悪化している事象をパケットキャプチャで観測しました。

解析のために「分析」→「エキスパート情報」を確認すると以下がエラーとして頻発していました。

f:id:mtiit:20200922011244p:plain
WiresharkによるExpertInfo

再送が起きているため通信状況が悪い可能性を疑いましたが、「統計」→「TCPストリーム」→「合計往復時間」を見ると10ms程度で推移していたので別に原因があると調査を続けたところ同一パケットが送付されていることが分かりました。

TTLが減少しながら再送が起きている場合はL3レイヤーでの不具合&サブネットマスクの設定を確認すべし、とのことです。逆に、TTLが減少していない場合はL2レイヤーで挙動がおかしいみたいです。

以上、同様の事象が発生している方の参考になれば幸いです。


他の記事を読む