2
Wireshark - falsche TCP Retransmissions
Hallo,
ich spiele gerade etwas mit unseren Mikrotik Routern, ich habe das erste Mal das Tool / Packet Sniffer genutzt.
Einfach mit allen Interfaces laufen lassen, undin Wireshark ausgewertet -> gschätzt 60% TCP Retransmissions, TCP DUP ACKs usw...
Derartige TCP-Probleme sind bei portgespiegelten Stichproben noch nie aufgefallen.
Wenn ich jeweils nur die Bridge *oder* die LAG des Mikrotik sniffe, treten keine TCP Retransmissions auf.
Meine Vermutung, es wird ja die Brdge gesnifft, dazu die LAG und ggf. auch noch die VLANs die auf der Bridge anliegen.
Das erzeugt ja (meine Vermutung) pro Paket mehre Einträge, die von Wireshark falsch, z. B. als TCP Retransmissions, ausgewertet werden.
Hat dieses Verhalten schon mal jemand beobachtet?
Meine Vermutung zur Mehrfachaufzeichnung falsch / ruchtig?
ich spiele gerade etwas mit unseren Mikrotik Routern, ich habe das erste Mal das Tool / Packet Sniffer genutzt.
Einfach mit allen Interfaces laufen lassen, undin Wireshark ausgewertet -> gschätzt 60% TCP Retransmissions, TCP DUP ACKs usw...
Derartige TCP-Probleme sind bei portgespiegelten Stichproben noch nie aufgefallen.
Wenn ich jeweils nur die Bridge *oder* die LAG des Mikrotik sniffe, treten keine TCP Retransmissions auf.
Meine Vermutung, es wird ja die Brdge gesnifft, dazu die LAG und ggf. auch noch die VLANs die auf der Bridge anliegen.
Das erzeugt ja (meine Vermutung) pro Paket mehre Einträge, die von Wireshark falsch, z. B. als TCP Retransmissions, ausgewertet werden.
Hat dieses Verhalten schon mal jemand beobachtet?
Meine Vermutung zur Mehrfachaufzeichnung falsch / ruchtig?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 572681
Url: https://administrator.de/contentid/572681
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
2 Kommentare
Neuester Kommentar
Korrekt — wenn Wireshark ein identisches TCP-Paket (identisches Tupel aus Adressen, Ports und Sequenznummern) mehrfach sieht, wird angenommen, dass es sich um eine Retransmission handelt.
Du kannst auf den vermeintlichen Retransmission-Paketen die MAC-Adressen und ggf. VLAN-Tags vergleichen um sicher zu sein, dass dieses Paket an verschiedenen Interfaces gesehen wurde.
Du kannst auf den vermeintlichen Retransmission-Paketen die MAC-Adressen und ggf. VLAN-Tags vergleichen um sicher zu sein, dass dieses Paket an verschiedenen Interfaces gesehen wurde.
Lesenswert zu dem Thema:
https://www.heise.de/select/ct/2020/4/2000810055996410396
Und besser Port Mirroring verwenden was solche Problematiken ausschliesst:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Mirrorin ...
https://www.heise.de/select/ct/2020/4/2000810055996410396
Und besser Port Mirroring verwenden was solche Problematiken ausschliesst:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Mirrorin ...
