tcpdumpで「ドロップされたパケット」をキャプチャする方法

問題はtcpdump自体にある可能性があります。応答が十分に速くない場合、古いパケットは新しいパケットで上書きされます。つまり、それらは破棄されます。

各パケットのすべてのバイトをキャプチャする場合、カーネルのパケットキャプチャバッファがオーバーランするのは非常に簡単です。このオーバーランの症状は、パケットトレースプログラムがパケットをドロップしたことを報告することです。

Tcpdumpの場合、キャプチャを停止すると、キャプチャ、フィルタリング、およびドロップされたパケット数の概要が出力されます。例えば：

$ Sudo tcpdump -i en0 -w trace.pcap
tcpdump: listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
94 packets captured
177 packets received by filter
0 packets dropped by kernel

droppedカウントがゼロ以外の場合は、-Bオプションをtcpdumpに渡して、パケットキャプチャバッファーのサイズを増やす必要があります。キャプチャファイルなしでも試して、キャプチャ率が向上するかどうかを確認してください。

あなたの質問は、リアルタイムパケットをキャプチャしてドロップするパケットを見つけようとするのではなく、前に戻って前のパケットがドロップした原因を見つけることに関係しているようです。後者の場合、 harrymcの回答 は、最終的には探しているものをキャプチャできるはずです。

戻ってそのインターフェイスで何が起こっているのかを調べるには、RX packets:574749 errors:0 dropped:83 overruns:0 frame:0に表示されるヘッダーが、基礎となるカウンターの要約にすぎないことを理解する必要があります。

私のコメント から、_ この回答 のethtoolコマンド/パッケージを使用して、いくつかのカウンターを分析し、表示されるものを見つけることができるかどうかを確認することをお勧めします場違いの。
ethtool -S ens192

broadcomドライバーのソースファイル から、ファイル内のいくつかの個別の状況についてtp->rx_dropped++;がわかります。 12 これらの1つ以上（正確なNICおよび基になるドライバーに応じて）貢献ドロップされたパケットを引き起こしている可能性があるものに。

心を楽にするために、サーバーは上記の出力に基づいて受信したパケットの0.015％未満をドロップしています。ドロップ率/エラー率が1％を超えるまで、クライアントはサーバーの中断やジッターに気付くことはありません。それでも目立ちません。 TCPは、必要な再送信をすべて処理します。