Come trovare i pacchetti persi con Wireshark

Una connessione lenta e in ritardo può indicare che i pacchetti vengono eliminati durante il transito. Sebbene un certo livello di perdita di pacchetti sia accettabile in alcuni scenari, può interrompere gravemente l’esperienza dell’utente in altri, soprattutto durante lo streaming di contenuti multimediali. Inoltre, il sistema potrebbe eliminare del tutto i pacchetti per compensare il ritardo e i dati potrebbero andare persi durante il processo.

Ecco come capire se hai a che fare con pacchetti persi o persi con Wireshark in modo da poter diagnosticare rapidamente il problema.

Pacchetti persi? Prendiamoli

Quando gli utenti si lamentano di un servizio lento o di un trasferimento dati scadente, è logico presumere che la colpa sia della perdita di pacchetti. Non tutti i pacchetti persi vengono eliminati, ma un’elevata velocità di rilascio può indicare vari problemi. Ecco il processo per verificare se hai perso pacchetti in Wireshark.

1. Apri l’ app desktop Wireshark .

   

2. Assicurati di essere in modalità di cattura.

   

3. Trova la barra di stato nella parte inferiore della finestra.

   

Qui vedrai alcune statistiche sui pacchetti che hai catturato. Il numero accanto a “Eliminato” indica se sono stati eliminati dei pacchetti. In alcune versioni, il contatore “Scartato” appare solo se Wireshark non ha catturato tutti i pacchetti.

Se sei sicuro che alcuni pacchetti siano stati eliminati, ma la barra di stato non aiuta, trova le statistiche dei pacchetti eliminati come segue:

1. Fai clic su “Statistiche” nella barra dei menu.

   

2. Seleziona Proprietà del file di acquisizione. Verrà aperta una nuova finestra.

   

3. Sotto Interfacce, vedrai i pacchetti eliminati. Il numero sotto ti mostrerà quanti pacchetti non sono stati catturati.

   

Anche se Wireshark non cattura tutti i pacchetti, ciò non significa che non siano stati trasmessi. Il programma potrebbe semplicemente non tenere il passo con il flusso veloce. Tuttavia, è ancora in grado di riconoscere i pacchetti che non sono stati catturati con un pacchetto ACK, poiché si tratta di pacchetti più piccoli che sono più facili da catturare. Pertanto, puoi spesso identificare i pacchetti persi cercando gli ACK nella colonna delle informazioni. L’ACK ti dice che i dati sono stati trasmessi con successo nonostante l’assenza di un pacchetto.

Indagine sui pacchetti smarriti

I pacchetti non acquisiti non sono uguali ai pacchetti persi. Mentre i pacchetti che Wireshark non ha catturato potrebbero comunque raggiungere la loro destinazione, i pacchetti persi no. Invece, di solito vengono ritrasmessi e rimossi solo nel peggiore dei casi. Per indagare sui pacchetti persi su un segmento TCP, è necessario esaminare attentamente la colonna delle informazioni nella schermata di acquisizione.

1. Seleziona la conversazione che desideri esplorare e applicala come filtro. Questo non è obbligatorio, ma ti aiuterà a ottenere una visione d’insieme migliore.

   

2. Scegli uno qualsiasi dei pacchetti.

   

3. Fare clic su Protocollo Internet versione 4 in Dettagli.

   

4. Trova il numero di identificazione e fai clic con il pulsante destro del mouse, quindi fai clic su “Applica come colonna”.

   

Ora puoi vedere il numero di identificazione seriale di ogni trasmissione. Esamina i numeri per trovare eventuali discrepanze. Ricorda che in TCP, i pacchetti persi possono essere ritrasmessi in un secondo momento, quindi anche se una trasmissione non è in atto, potrebbe essere ancora presente. Puoi trovarlo per numero ID.

Ogni volta che un pacchetto non può essere trasmesso, vedrai il messaggio “Segmento precedente non acquisito” nella colonna “Informazioni” della riga successiva. Puoi anche cercare i pacchetti persi in tutte le conversazioni filtrandoli in base a questo messaggio di errore. Digita “tcp.analysis.lost_segment” nella riga del filtro e premi Invio. Puoi anche combinarlo con l’indirizzo IP o i filtri di conversazione digitando “e” tra i due filtri per ottenere un risultato più accurato. Anche in questo caso, puoi cercare i pacchetti persi dopo aver determinato i loro numeri ID.

Come accennato, TCP consente di ritrasmettere i segmenti persi in un secondo momento. Puoi utilizzare il filtro “tcp.analysis.retransmission” per trovare le tue ritrasmissioni. Trovare i pacchetti ritrasmessi a volte può essere più produttivo che trovare i segmenti persi, perché i segmenti persi possono includere più di un pacchetto e le ritrasmissioni sono singoli pacchetti.

Tieni traccia dei pacchetti persi con Wireshark

Determinare se un pacchetto è stato perso o abbandonato da Wireshark non è sempre facile. Di solito non è sufficiente considerare una sola metrica, è necessario considerare diversi fattori. I pacchetti persi spesso raggiungono la loro destinazione illesi, mentre molti pacchetti persi possono peggiorare l’esperienza dell’utente.