Wireshark로 잃어버린 패킷을 찾는 방법

느리고 지연되는 연결은 패킷이 전송 중 삭제되고 있음을 나타낼 수 있습니다. 일부 시나리오에서는 일정 수준의 패킷 손실이 허용되지만 다른 시나리오에서는 특히 스트리밍 미디어에서 사용자 경험을 심각하게 방해할 수 있습니다. 또한 시스템은 지연을 보상하기 위해 패킷을 모두 삭제할 수 있으며 프로세스에서 데이터가 손실될 수 있습니다.

문제를 신속하게 진단할 수 있도록 Wireshark로 패킷 손실 또는 손실을 처리하고 있는지 확인하는 방법은 다음과 같습니다.

누락된 패키지? 데려가자

사용자가 느린 서비스나 열악한 데이터 전송에 대해 불평할 때 패킷 손실이 원인이라고 가정하는 것이 논리적입니다. 모든 손실된 패킷이 삭제되는 것은 아니지만 높은 삭제율은 다양한 문제를 나타낼 수 있습니다. Wireshark에서 패킷을 삭제했는지 확인하는 프로세스는 다음과 같습니다.

1. Wireshark 데스크톱 앱 을 엽니다.

   

2. 캡처 모드인지 확인하십시오.

   

3. 창 하단에서 상태 표시줄을 찾습니다.

   

여기에서 캡처한 패킷에 대한 몇 가지 통계를 볼 수 있습니다. “Dropped” 옆에 있는 숫자는 패킷이 삭제되었는지 여부를 나타냅니다. 일부 버전에서 “Discarded” 카운터는 Wireshark가 모든 패킷을 캡처하지 않은 경우에만 나타납니다.

일부 패킷이 삭제된 것이 확실하지만 상태 표시줄이 도움이 되지 않는 경우 다음과 같이 삭제된 패킷의 통계를 찾으십시오.

1. 메뉴 바에서 “통계”를 클릭하십시오.

   

2. 캡처 파일 속성을 선택합니다. 새 창이 열립니다.

   

3. Interfaces 아래에 Dropped Packets가 표시됩니다. 그 아래의 숫자는 캡처되지 않은 패킷 수를 보여줍니다.

   

Wireshark가 모든 패킷을 캡처하지 않더라도 전송되지 않은 것은 아닙니다. 프로그램은 단순히 빠른 흐름을 따라가지 못할 수 있습니다. 그러나 ACK 패킷으로 포착되지 않은 패킷은 포착하기 쉬운 더 작은 패킷이기 때문에 여전히 승인할 수 있습니다. 따라서 정보 열에서 ACK를 찾아 삭제된 패킷을 식별할 수 있습니다. ACK는 패킷이 없음에도 불구하고 데이터가 성공적으로 전송되었음을 알려줍니다.

분실 패킷 조사

캡처되지 않은 패킷은 손실된 패킷과 동일하지 않습니다. Wireshark가 캡처하지 않은 패킷은 여전히 ​​대상에 도달할 수 있지만 손실된 패킷은 그렇지 않습니다. 대신 일반적으로 최악의 경우에만 재전송되고 제거됩니다. TCP 세그먼트에서 손실된 패킷을 조사하려면 캡처 화면의 정보 열을 주의 깊게 조사해야 합니다.

1. 탐색할 대화를 선택하고 필터로 적용합니다. 이것은 필수 사항은 아니지만 더 나은 개요를 얻는 데 도움이 됩니다.

   

2. 패키지 중 하나를 선택하십시오.

   

3. 세부 정보에서 인터넷 프로토콜 버전 4를 클릭합니다.

   

4. 식별 번호를 찾아 마우스 오른쪽 버튼으로 클릭한 다음 “열로 적용”을 클릭합니다.

   

이제 각 전송의 일련 식별 번호를 볼 수 있습니다. 숫자를 검토하여 불일치를 찾습니다. TCP에서 손실된 패킷은 나중에 재전송될 수 있으므로 전송이 제자리에 있지 않더라도 여전히 있을 수 있습니다. 주민등록번호로 확인하실 수 있습니다.

패킷을 전송할 수 없을 때마다 다음 줄의 “정보” 열에 “이전 세그먼트가 캡처되지 않음”이라는 메시지가 표시됩니다. 이 오류 메시지로 필터링하여 모든 대화에서 손실된 패킷을 검색할 수도 있습니다. 필터 줄에 “tcp.analysis.lost_segment”를 입력하고 Enter 키를 누릅니다. 더 정확한 결과를 얻으려면 두 필터 사이에 “and”를 입력하여 이를 IP 주소 또는 대화 필터와 결합할 수도 있습니다. 다시, ID 번호를 확인한 후 손실된 패킷을 검색할 수 있습니다.

언급했듯이 TCP는 손실된 세그먼트가 나중에 재전송되도록 허용합니다. “tcp.analysis.retransmission” 필터를 사용하여 재전송을 찾을 수 있습니다. 손실된 세그먼트에는 둘 이상의 패킷이 포함될 수 있고 재전송은 개별 패킷이기 때문에 재전송된 패킷을 찾는 것이 손실된 세그먼트를 찾는 것보다 더 생산적일 수 있습니다.

Wireshark로 손실된 패킷 추적

Wireshark에서 패킷이 손실 또는 삭제되었는지 여부를 확인하는 것이 항상 쉬운 것은 아닙니다. 일반적으로 하나의 측정항목만 고려하는 것만으로는 충분하지 않으며 여러 요소를 고려해야 합니다. 손실된 패킷은 손상 없이 목적지에 도달하는 경우가 많지만 손실된 패킷이 많을 경우 사용자 경험이 저하될 수 있습니다.