wireshark 相關提示

Packet size limited during capture

     提示說明标記的包沒有抓全，在某些作業系統中，預設隻抓96個位元組，tcpdump中有“-s”參數可用于指定要抓的位元組數，“-s 1500”即每個包可以抓1500個位元組，‘-s 0’每個包有多少抓多少

TCP Previous segment not captured

     表明有網絡包沒抓到，可能是抓包工具漏掉了，也可能是真的丢了。看對方回複的ACK即可知道，如果包括了對沒抓到的包的确認，那麼是抓包工具漏了，否則就是真的丢了

 TCP ACKed unseen segment

     ACK有抓到，但被ACK的包沒被抓到，wireshark上常有的事，可忽略。

TCP Out_of_Order

     包亂序，在正常的情況下，一個包的seq等于上一個包的seq加上len，也就是說包的seq一定大于或等于上一個包的seq，當wireshark發現這個包的seq小于上一個包的seq的時候，就會标注 TCP Out_of_Order，即包亂序了。

     跨度小的亂序沒事，跨度大的亂序可能引起重傳。

TCP Dup ACK

     當亂序或丢包發生時，接收方會收到一些seq号比期待值大的包，接收方每收到一個這樣的包，就會重傳一次ACK，告訴發送方，自己的期待值。這樣的ACK包會被标注為  TCP Dup ACK

TCP Fast Retransmission

     發送方收到3個或以上的【TCP Dup ACK】時，就意識到之前的包丢失了，就會觸發逾時重傳

TCP Retransmission

     如果一個包丢失了，但又沒發生【TCP Dup ACK】時，就無法觸發快速重傳，就隻有等逾時重傳了，重傳的包也就是TCP Retransmission

TCP zerowindow

     TCP包中的win指發送方接收視窗的大小，當win=0時，wireshark就給包打上【TCP zerowindow】，表示緩沖區已滿，不能接收資料了。

TCP window Full

     當打上這個标志時，表示發送方已經把接送方聲明的視窗大小耗盡了。即接送方聲明的win=65535，但現在在途位元組數也已經有65535了。發送方停止發送資料。