Tshark Detectando problemas en la red.

Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.

Tshark. ACKs duplicados

Veamos parte de la una captura cualquiera:

tshark

Podemos observar que de momento no hay problema alguno. La transmisión de paquetes entra dentro de lo normal.

Sin embargo, en un momento de la captura, nos encontramos ya con algún problema:

Tshark

Vemos notaciones como TCP Previous segment lost, TCP Dup ACK y TCP Retransmission.

Vamos a analizar la captura.

TCP Previous segmento lost (frame 188) nos indica que un segmento TCP anterior ha fallado. Un TCP Dup ACK (frame 189) puede deberse a un desorden de paquetes que hace que el receptor provoque un ACK duplicado ante un segmento que no sigue la secuencia normal. Vemos la duplicidad de secuencias (Seq=2313). Puede ser también debido a la perdida de algún segmento de datos. Al recibir segmentos no ordenados, se genera ACKs duplicados, reenvía nuevamete el mismo ACK (acuse de recibo), es decir nuevos requerimientos para recibir el segmento de forma correcta. ( Vemos el ACK=4126 repetido).

El problema también puede deberse a incremento de tiempo en la trasmisión del paquete, retraso del paquete, con lo que se espera nuevos ACKs duplicados.

Normlamente la pérdida de orden secuencia es notificado por Tshark con la notación TCP Out-Of-Order segment.

Por regla general:

  • Solo se esperan hasta 3 ACKs duplicados.
  • Uno o dos ACKs duplicados indica una reordenación de los segmentos.
  • Tres o más ACKs duplicados indica que se perdió el paquete.

TCP Retransmission ocurre, explicado de forma muy básica, cuando el cliente no obtiene respuesta a un requerimiento y vuelve a reintentarlo.

En resúmen podemos decir que cuando ocurre un TCP Previous segment lost se indica que durante el curso de transferencia de datos, un paquete se ha perdido o tarda en ser transmitido. En respuesta, el cliente envía un paquetel TCP Dup ACK al servidor, solicitando que el paquete perdido sea enviado nuevamente. El cliente seguirán enviando ACKs duplicados hasta que sea atendida la petición.

ACKs Duplicados.

Cuando se pierde algún segmento de datos tanto por errores del canal o por problemas de congestión TCP recibe segmentos fuera de orden y en consecuencia genera ACK duplicados. Puede ser consecuencias de picos de retardo o desorden de paquetes. Podemos decir entonces que los ACKs duplicados son síntomas también de un problema en nuestra red.

Cuando se reciban 3 ACKs duplicados es entonces cuando aparece el mecanismo de Fast Retransmit o Retransmision rápida que vemos en las capturas que consiste en la retransmisión de segmento perdido.

Abajo, uso de Expert Info para visualizar los eventos de ACK Duplicados:

Expert Info. Dup ACK

ACKs Duplicados en Tshark:

Tshark. ACKs duplicados

Hasta aquí todo explicado de forma muy básica. En próximos capítulos iremos profundizando en estos conceptos y estudiaremos los mecanismo de TCP para evitar la congestión, etc.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , . Guarda el enlace permanente.

26 respuestas a Tshark Detectando problemas en la red.

  1. neil Jimenez dijo:

    Hola… me encuentro iniciando el estudio y análisis de un tráfico de una red ip/mpls…
    Además, me centro en el estudio del servicio de VoIP…
    Me gustaría mas información acerca de como analizar tráfico por este software… bueno me refiero a documentos…
    Gracias por su atención…bay…

  2. willy adarme dijo:

    excelente, su pagina, estoy usando el wireshark para analizar redes powerline…lo puedo hacer?? Como hago para determianr el desempeño de la red o calcular la tasa de transmision de datos. Ademas si envio archivos de 20 MB porque al hacer una conversacion me aparece archivos enviados de mayor tamañao.. POR FAVOR COLABOREME, YA QUE ES UN FON ACADEMICO.

  3. Jeff Sands dijo:

    Hola Alfon, muchas gracias por los artículos de tu blog, me han ayudado bastante a comprender parte de este amplio mundo de la seguridad y redes, te deseo muchos éxitos y que sigas mejorando!!! saludos

  4. gonza dijo:

    no entendi un choto

  5. Juan Pablo dijo:

    Buenas Noches.
    deseo agradecer por tan importante aporte, pues usted dice que hay muvha informacio acerca del wireshark, pero realmente es escaso. y lo que encontre no es muy completo. lo contrario que encontre en esta pagina, es muy completo consecuente y bien dirigido, se apoya en imagenes que son muy importantes para poder aprender mejor.
    mucha gracias

  6. Alfon dijo:

    Gracias a tí Juan Pablo por tus comentarios y por leer mi blog.

  7. guillermo dijo:

    muy interesante me gustaria que me ayudaran con algo como evitar los ack duplicados que hay que hacerle a mi red como arreglo ese problema de raiz mil gracias por la ayuda es como urgente

  8. Willy dijo:

    Está muy bien explicado cada punto. Gracias por tu dedicación.

  9. Cristian dijo:

    perdon si me perdi de algo pero tengo este problema en mi red y todavia no lei que pusieran las posibles soluciones

  10. Alfon dijo:

    Cristian, crearé una entrada para esta duda.

  11. ramo400 dijo:

    hola me ha gustado como esplicas las cosas,soy nuevo en este ramo y no entiedo muy bién el funcionamiento de este programa, estoi haciendo un trabajo y necesito un manual de uso me podrias indicar alguna pagina.
    gracias
    un saludo

  12. Ivan dijo:

    Hola, muy buena paguina , con informacion bastante util.
    ¿Como puedo solucionar errores en una lan en la que hay +- 70 Pcs y Vemos notaciones como TCP Previous segment lost, TCP Dup ACK y TCP Retransmission?
    Gracias de antemano.

  13. Ivan dijo:

    Hola, muy buena paguina , con informacion bastante util.
    ¿Como puedo solucionar errores en una lan en la que hay +- 70 Pcs y Vemos notaciones como TCP Previous segment lost, TCP Dup ACK y TCP Retransmission?
    Gracias de antemano.

  14. chack dijo:

    muy buen blog, me gustaria saber si es posible acceder a las datas encapsuladas en protocolo ppptp, y cómo sería el procedimiento, con el interés de ampliar conocimiento al respecto, muchas gracias

  15. jose dijo:

    Alfonso me dejas sin palabras, llevo unos cuantos años trabajando en seguridad y tu pagina la tengo como favorita. Eres un crack.
    Gracias.
    Un saludo

  16. Fedex5 dijo:

    Gracias por la informacion!
    muy util y expresada para que se entienda

    salu2

  17. abraham dijo:

    un saludo a todos
    Alfonso hola, mi nombre es abraham, tengo un pequeño problema que es cuando entro en wireshark y quiero ver mi captura.cap en packets me dice error after reading xxxxxxx packets y no se por que motivo sucede, podrias darme una rerspuesta gracias

  18. hosting dijo:

    Excelente informacion, aunque falto un poquito de descripcion de alguna trama.

    Muchas gracias y ojalas sigan publicando articulos similares =)

  19. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

  20. vankindell dijo:

    que pude pasar si me esta ocurriendo esto y de repente no tengo acceso a mis redes sociales?

  21. Alejandro dijo:

    Tengo un problema, creo que hay un equipo que me esta causando conflicto en la red. Me gustaria saber que configuracion tengo que hacer para realizar un analasis y saber que equipo me esta dando problema y donde debo conectarme. Perdonen la pregunta que pueda ser tonta, pero estoy preocupado y necesito ayuda. De ante mano muchas gracias.

  22. Miguel Angel Arista dijo:

    Buenos días, primero felicitarte por estas estupendas explicaciones. Me gustaria exponer un caso. Imaginemos que tenemos una limitación de velocidad, en la que se comprueba que la red no es, incluso se ha usado sondas como ixchariot, en los que se certifica que en internet no esta el problema de perdida de paquetes. Pero cuando se hace una captura de paquetes aparecen muchos ACK duplicados, bastantes mensajes warn de windows full y alguno que otro Out-Of-Order segment.

    Si yo miro el servidor del cliente veo que en windows scaling tiene una configuración, creo recordar que -1, la que no se si es correcta. Pero tambien me hace sospechar que un proceso en un swith pueda provocar un error y genere esos duplicados y demás mensajes. Si pudiera explicar mejor ese tipo de mensajes lo agraderia.

  23. lauchi04 dijo:

    hola como estas te escribia porque tengo una duda y la verdad mi profesor nos dio un practico para hacer y no nos dio ninguna inforrmacion mas nos dio las consignas y nada mas el resto lo tenemos que investigar nosotros….el tema es que poco sabemos del tema y leyendo en varias paginas para tratar de entender nos perdiamos aun mas… este es el ejercicio, no pretendo que me lo resuelvas pero si entender como lo hago desde ya muchas gracias…
    Utilizando el wireshark como capturador desde una ventana dos ejecute la sig instruccion… ping http://www.ubp.edu.ar -l 8192 -n 1
    a- porque se producen las fragmentacion
    b- cuantos fragmentos se produjieron?
    c-como sabemos apartir de la observacion cual es el primer fragmento?
    d-como sabemos el ultimo?
    e-como sabemos cual no es ni el primero ni el ultimo??
    …………….. ese es el trabajo……… desde ya muchas graciassssss………

  24. hola alfon, soy nuevo en esto del analisis de redes, asi que me gustaria si pudieses me aclarases una duda, digamos que tengo una lan de 10 pc, de varios hogares interconectados entre si sin internet, y la red se cuelga debido a un trafico de datos entre 2 o mas usuarios, o sea que estan copiando entre si, y la red la tenemos para jugar, como puedo determinar con estos programas de analisis de red, que ip, que mac esta usando trafico de datos por encima de los demas, yo instale el wireshark pero no entiendo sus datos, si me puedes ayudar te lo agradecere mucho.

  25. Julio dijo:

    Hola, muchas gracias por la información que compartes.

    Tengo un problema en mi red, donde en mi captura se ve que los RST o reset viene del host destino, pero hay un comportamiento muy extraño, no logro identificar si es el aplicativo o algun equipo que no este entregando los paquetes en el formato esperado. Comento lo anterior por que el puerto destino no cambia 7734, pero pueden procesar 5 archivos y apartir del 6 dejo de recibir respuesta por parte del host destino, ojala tuvieses la opirtunidad de ayudarme, igual podria servirte para incluirlo en tus articulos.

    Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s