Ya hemos visto como detectar algunos errores en nestra red usando Wireshark y algunos conceptos como ACKs duplicados, segmentos fuera de orden, Retransmisiones, Retransmisiones rápidas, etc. Ahora vamos a ver estos mismos coneceptos usando la herramienta IO Graph de Wireshark y como relacionarlos.
Tenemos una captura cualquiera. Como ya hemos estudiado en el artículo dedicado a las gráficas Wwireshark abrimos esta herramienta y aplicamos una serie de filtros quedando la gráfica de esta forma:
Como veréis hemos aplicado los siguientes filtros:
- tcp.analysis.lost_segment Perdida de paquetes o segmentos
- tcp.analysis.retransmission Mecanismo de rentransmision
- tcp.analysis.fast.retransmission Mecanismo de rentransmision rápida
- tcp.analysis.duplicate_ack Análisis de ACKs duplicados
Y como ya hemos vistos en el artículo de detección de problemas en la red comprobamos que, explicado de forma básica:
Si se reciben tres o más ACKs duplicados, se asume la pérdida de un segmento o paquete lost_segment esto desencadenala retransmisión del dicho segmento perdido fast.retransmission.
Vamos ahora a centrarnos en la misma gráfica pero desactivando Graph 4:
Vemos entonces, la zona reseñada en rojo, que algunos segmentos llegados fuera de orden e incluso perdidos reseñados en azul en la primera gráfica, generaron también (estaba oculto) ACKs duplicados . Sin embargo observamos que no hubo Retransmision o Retransmision rápida. Esto es debido a que, se ve cláramente en la gráfica, tan solo se produjo 1 o 2 ACKs duplicados. Lo vemos de forma muy clara en la zona reseñada con el ciculo rojo. También vemos que si se generó una retransmision en uno de ellos que si tiene 3 ACKs Duplicados.
Alfonso, quería felicitarte por el estupendo trabajo que estás haciendo explicando como funciona tcpdump, Snort, Wireshark y en general el análisis de TCP/IP. Soy consciente del enorme trabajo que hay detrás, de estudio y de síntesis. Felicidades, me alegro verte de nuevo posteando.
Un abrazo.
gracias por todo lo que dices aquí..me es de gran ayuda.
Hola Antonio e inem.
Gracias a los dos por vuestros comentarios. Y si, la verdad es que lleva mucho tiempo de investigación preparación, etc. Pero buen, voy a aprovechar esta racha que tengo para sacar bastante contenido.
Saludos,
Felicidades por el gran esfuerzo para explicar todo el tema TCP, errores y demás..
muchas gracias
Alfonso excelente trabajo. Me has iluminado y enseñado bastante.
Desde Colombia
Hector Aguilar
Gracias Oscar y Héctor por tus comentarios.
solo para agradecer, realmente he aprendido a comprender wireshark gracias a tu blog.