探究 wireshark 的 tcptrace 时序图

wireshark 时序图显示了一段时间内的数据流情况。根据定义,数据流是单向流动的。所以如果抓包是客户端从 FTP 服务器上下载文件,你必须单机一个从服务器发来的包,然后仅显示一个方向的数据流。这是一个带有些注释的缩放的截图:


探究 wireshark 的 tcptrace 时序图_第1张图片
tcptrace 截图

x 轴是时间,比如上图显示了 2.35 s。y 轴是 tcp 序号,序号表示发送的字节数。每发送一个字节,序号 +1。理想情况下,希望看到一条向右上角增长的平滑直线。直线斜率是管道理论上的带宽。直线越陡,管道吞吐越大。
黑色的 I 型线表示 tcp 数据段。更长 I 型线,代表这个包的数据越多。最下面的灰线是接受者已经确认过的字节。对于图上一个时间点,ack 确认线和 I 型 tcp 已发的数据线之间的距离为在途字节数(已发送但还在路上未确认的字节数)。所以在2.35s,服务器发送了 40,400,000 字节,ack 确认的是 40,000,000 字节,那么有 400,000 字节还没有被确认,正在中间网络上。(蓝线和红线是后加上的标记,不是图表的一部分)。
最上面的线是计算出来的接受方窗口的大小。为 ack 确认的序号加上当前通道的接受窗口。如果当前 ack 确认 40,000,000 ,同时通告窗口是 1,200,000,那么计算出来的接受窗口是 41,200,000。当前发送 tcp 数据序号(40,400,000)与计算出来的接收方窗口(41,200,000)之间的距离表示接收方 buffer 还有多少可用(800,000)。

你可能感兴趣的:(探究 wireshark 的 tcptrace 时序图)