Wireshark / Tshark. Usando IO Graph para relacionar ACKs duplicados, lost segment y retransmisiones

Ya hemos visto como detectar algunos errores en nestra red usando Wireshark y algunos conceptos como ACKs duplicados, segmentos fuera de orden, Retransmisiones, Retransmisiones rápidas, etc. Ahora vamos a ver estos mismos coneceptos usando la herramienta IO Graph de Wireshark y como relacionarlos.

Wireshark IO Graphs

Tenemos una captura cualquiera. Como ya hemos estudiado en el artículo dedicado a las gráficas Wwireshark abrimos esta herramienta y aplicamos una serie de filtros quedando la gráfica de esta forma:

Wireshark IO Graphs

Como veréis hemos aplicado los siguientes filtros:

  • tcp.analysis.lost_segment Perdida de paquetes o segmentos
  • tcp.analysis.retransmission Mecanismo de rentransmision
  • tcp.analysis.fast.retransmission Mecanismo de rentransmision rápida
  • tcp.analysis.duplicate_ack Análisis de ACKs duplicados

Y como ya hemos vistos en el artículo de detección de problemas en la red comprobamos que, explicado de forma básica:

Si se reciben tres o más ACKs duplicados, se asume la pérdida de un segmento o paquete lost_segment esto desencadenala retransmisión del dicho segmento perdido fast.retransmission.

Vamos ahora a centrarnos en la misma gráfica pero desactivando Graph 4:

Wireshark IO Graphs

Vemos entonces, la zona reseñada en rojo, que algunos segmentos llegados fuera de orden e incluso perdidos reseñados en azul en la primera gráfica, generaron también (estaba oculto) ACKs duplicados . Sin embargo observamos que no hubo Retransmision o Retransmision rápida. Esto es debido a que, se ve cláramente en la gráfica, tan solo se produjo 1 o 2 ACKs duplicados. Lo vemos de forma muy clara en la zona reseñada con el ciculo rojo. También vemos que si se generó una retransmision en uno de ellos que si tiene 3 ACKs Duplicados.

About these ads
Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , , , , , . Guarda el enlace permanente.

7 respuestas a Wireshark / Tshark. Usando IO Graph para relacionar ACKs duplicados, lost segment y retransmisiones

  1. Antonio dijo:

    Alfonso, quería felicitarte por el estupendo trabajo que estás haciendo explicando como funciona tcpdump, Snort, Wireshark y en general el análisis de TCP/IP. Soy consciente del enorme trabajo que hay detrás, de estudio y de síntesis. Felicidades, me alegro verte de nuevo posteando.
    Un abrazo.

  2. inem dijo:

    gracias por todo lo que dices aquí..me es de gran ayuda.

  3. alfon dijo:

    Hola Antonio e inem.
    Gracias a los dos por vuestros comentarios. Y si, la verdad es que lleva mucho tiempo de investigación preparación, etc. Pero buen, voy a aprovechar esta racha que tengo para sacar bastante contenido.
    Saludos,

  4. oscar dijo:

    Felicidades por el gran esfuerzo para explicar todo el tema TCP, errores y demás..
    muchas gracias

  5. Hector Aguilar dijo:

    Alfonso excelente trabajo. Me has iluminado y enseñado bastante.
    Desde Colombia
    Hector Aguilar

  6. Alfon dijo:

    Gracias Oscar y Héctor por tus comentarios.

  7. f dijo:

    solo para agradecer, realmente he aprendido a comprender wireshark gracias a tu blog.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s