探究 wireshark 的 tcptrace 时序图

wireshark 时序图显示了一段时间内的数据流情况。根据定义，数据流是单向流动的。所以如果抓包是客户端从 FTP 服务器上下载文件，你必须单机一个从服务器发来的包，然后仅显示一个方向的数据流。这是一个带有些注释的缩放的截图：

tcptrace 截图

x 轴是时间，比如上图显示了 2.35 s。y 轴是 tcp 序号，序号表示发送的字节数。每发送一个字节，序号 +1。理想情况下，希望看到一条向右上角增长的平滑直线。直线斜率是管道理论上的带宽。直线越陡，管道吞吐越大。
黑色的 I 型线表示 tcp 数据段。更长 I 型线，代表这个包的数据越多。最下面的灰线是接受者已经确认过的字节。对于图上一个时间点，ack 确认线和 I 型 tcp 已发的数据线之间的距离为在途字节数（已发送但还在路上未确认的字节数）。所以在2.35s，服务器发送了 40,400,000 字节，ack 确认的是 40,000,000 字节，那么有 400,000 字节还没有被确认，正在中间网络上。（蓝线和红线是后加上的标记，不是图表的一部分）。
最上面的线是计算出来的接受方窗口的大小。为 ack 确认的序号加上当前通道的接受窗口。如果当前 ack 确认 40,000,000 ，同时通告窗口是 1,200,000，那么计算出来的接受窗口是 41,200,000。当前发送 tcp 数据序号（40,400,000）与计算出来的接收方窗口（41,200,000）之间的距离表示接收方 buffer 还有多少可用（800,000）。