wireshark和tcpdump -r:奇怪的tcp窗口大小

Question

wireshark和tcpdump -r:奇怪的tcp窗口大小

我正在使用tcpdump捕获http流量,并且对TCP慢启动和窗口大小增加感兴趣:

$ sudo tcpdump -i eth1 -w wget++.tcpdump tcp and port 80

Run Code Online (Sandbox Code Playgroud)

当我使用Wireshark查看转储文件时,窗口大小的进展看起来正常,即5840,5888,5888,8576,11264等...

但是当我查看转储文件时

$ tcpdump -r wget++.tcpdump -tnN | less

Run Code Online (Sandbox Code Playgroud)

我得到了似乎毫无意义的窗口大小(为简洁省略了IP地址):

: S 1069713761:1069713761(0) win 5840 <mss 1460,sackOK,timestamp 24220583 0,nop,wscale 7>
: S 1198053215:1198053215(0) ack 1069713762 win 5672 <mss 1430,sackOK,timestamp 2485833728 24220583,nop,wscale 6>
: . ack 1 win 46 <nop,nop,timestamp 24220604 2485833728>
: . 1:1419(1418) ack 1 win 46 <nop,nop,timestamp 24220604 2485833728>
: P 1419:2002(583) ack 1 win 46 <nop,nop,timestamp 24220604 2485833728>
: . ack 1419 win 133 <nop,nop,timestamp 2485833824 24220604>
: . ack 2002 win 178 <nop,nop,timestamp 2485833830 24220604>

Run Code Online (Sandbox Code Playgroud)

有没有办法在命令行上获得正常/绝对窗口大小？

Answer 1

caf*_*caf 10

窗口大小是正确的 - 它们只是未缩放.

连接启动器已将wscale(窗口缩放系数)设置为7,因此其后续win值必须乘以128以获得以字节为单位的窗口大小.因此,win 46表示5888字节的窗口.

连接接收者已将a设置wscale为6,因此其win值必须乘以64.因此,win 133表示8512字节的窗口,并win 178指示11392字节.

首先,为什么要这样做？第二,有没有一种方法可以让`tcpdump`在以Wireshark的方式查看转储文件时自动在输出中进行缩放？ (2认同)

Answer 2

小智 6

另外，如果工具（wireshark或tcpdump，没关系）没有看到syn，它必须打印未缩放的值，这可能会欺骗你

归档时间：	15 年，3 月前
查看次数：	15202 次
最近记录：	13 年，3 月前