Como encontrar pacotes perdidos com o Wireshark

Uma conexão lenta e atrasada pode indicar que os pacotes estão sendo descartados em trânsito. Embora um certo nível de perda de pacotes seja aceitável em alguns cenários, ele pode prejudicar gravemente a experiência do usuário em outros, especialmente ao transmitir mídia. Além disso, o sistema pode descartar pacotes completamente para compensar o atraso e os dados podem ser perdidos no processo.

Veja como saber se você está lidando com pacotes perdidos ou perdidos com o Wireshark para que você possa diagnosticar rapidamente o problema.

Pacotes perdidos? Vamos levá-los

Quando os usuários reclamam de serviço lento ou má transferência de dados, é lógico supor que a perda de pacotes é a culpada. Nem todos os pacotes perdidos são descartados, mas uma alta taxa de descarte pode indicar vários problemas. Aqui está o processo para verificar se você descartou pacotes no Wireshark.

1. Abra o aplicativo de desktop Wireshark .

   

2. Verifique se você está no modo de captura.

   

3. Encontre a barra de status na parte inferior da janela.

   

Aqui você verá algumas estatísticas sobre os pacotes que você capturou. O número ao lado de “Dropped” indica se algum pacote foi descartado. Em algumas versões, o contador “Discarded” só aparece se o Wireshark não tiver capturado todos os pacotes.

Se você tiver certeza de que alguns pacotes foram descartados, mas a barra de status não ajudar, encontre as estatísticas de pacotes descartados da seguinte maneira:

1. Clique em “Estatísticas” na barra de menu.

   

2. Selecione Propriedades do Arquivo de Captura. Uma nova janela se abrirá.

   

3. Em Interfaces, você verá Pacotes descartados. O número abaixo mostrará quantos pacotes não foram capturados.

   

Mesmo que o Wireshark não capture todos os pacotes, isso não significa que eles não foram transmitidos. O programa pode simplesmente não acompanhar o fluxo rápido. No entanto, ainda é capaz de reconhecer pacotes que não foram capturados com um pacote ACK, pois são pacotes menores e mais fáceis de capturar. Assim, muitas vezes você pode identificar pacotes descartados procurando por ACKs na coluna de informações. O ACK informa que os dados foram transmitidos com sucesso apesar da ausência de um pacote.

Investigação de Pacotes Perdidos

Pacotes não capturados não são iguais a pacotes perdidos. Enquanto os pacotes que o Wireshark não capturou ainda podem chegar ao seu destino, os pacotes perdidos não. Em vez disso, eles geralmente são retransmitidos e removidos apenas no pior caso. Para investigar pacotes perdidos em um segmento TCP, você precisa examinar cuidadosamente a coluna de informações na tela de captura.

1. Selecione a conversa que deseja explorar e aplique-a como filtro. Isso não é obrigatório, mas ajudará você a obter uma visão geral melhor.

   

2. Escolha qualquer um dos pacotes.

   

3. Clique em Internet Protocol Version 4 em Detalhes.

   

4. Encontre o número de identificação e clique com o botão direito nele, depois clique em “Aplicar como Coluna”.

   

Agora você pode ver o número de identificação de série de cada transmissão. Revise os números para encontrar qualquer discrepância. Lembre-se de que no TCP, os pacotes perdidos podem ser retransmitidos posteriormente, portanto, mesmo que uma transmissão não esteja em vigor, ela ainda pode estar lá. Você pode encontrá-lo pelo número de identificação.

Sempre que um pacote não puder ser transmitido, você verá a mensagem “Segmento anterior não capturado” na coluna “Informações” da próxima linha. Você também pode procurar pacotes perdidos em todas as conversas filtrando-os por esta mensagem de erro. Digite “tcp.analysis.lost_segment” na linha de filtro e pressione Enter. Você também pode combinar isso com o endereço IP ou filtros de conversa digitando “e” entre os dois filtros para obter um resultado mais preciso. Novamente, você pode procurar pacotes perdidos após determinar seus números de identificação.

Como mencionado, o TCP permite que segmentos perdidos sejam retransmitidos posteriormente. Você pode usar o filtro “tcp.analysis.retransmission” para encontrar suas retransmissões. Encontrar pacotes retransmitidos às vezes pode ser mais produtivo do que encontrar segmentos perdidos, porque os segmentos perdidos podem incluir mais de um pacote e as retransmissões são pacotes individuais.

Rastrear pacotes perdidos com o Wireshark

Determinar se um pacote foi perdido ou descartado pelo Wireshark nem sempre é fácil. Geralmente não basta considerar apenas uma métrica, vários fatores devem ser considerados. Os pacotes descartados geralmente chegam ao destino ilesos, enquanto muitos pacotes perdidos podem prejudicar a experiência do usuário.