tcpdump / tsharkで最も一般的な問題をフィルタリングする方法
私は現在、Linuxで次のコマンドを使用して、ネットワークの問題の詳細を取得しています。
tshark -r file.pcap -q -z io,stat,1,\
"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission",\
"COUNT(tcp.analysis.duplicate_ack)tcp.analysis.duplicate_ack",\
"COUNT(tcp.analysis.lost_segment) tcp.analysis.lost_segment",\
"COUNT(tcp.analysis.fast_retransmission) tcp.analysis.fast_retransmission"
これにより、多くの適切な情報を含むNiceテーブルが出力されます。ただし、チェックサムが正しくないなど、ネットワークの輻輳を指摘する可能性のあるものを取得するために、他にどのような列を追加できるかを知りたいと思います。パフォーマンスの問題を指摘するために必要なほとんどすべてのもの。
ネットワークの輻輳は通常、TCP自体が スロースタート、輻輳回避 、または 高速再送信/高速回復 アルゴリズムを使用して適切に処理されます RFC 2581 。TCPは、重大な輻輳が発生する前に問題を修正しようとします。
これで、非常に特殊なケースの場合は、RTT測定値とその分散を追加し、送信者のウィンドウサイズ(cwnd)を追跡し、CWRおよびECEフラグの外観をトレースできます。
PS:チェックサム処理は通常NICドライバーにオフロードされるため、libpcapベースのツールでは壊れているように見えるため、監視するのに適したメトリックにはなりません。