CSNA网络分析论坛»首页 流量分析 网络分析 ping正常,但打开网页非常慢,TCP频繁重传 ...
返回列表 发帖
查看: 6956|回复: 14

ping正常,但打开网页非常慢,TCP频繁重传

[复制链接]
altyro
发表于 2010-11-11 19:52:59 | 显示全部楼层 |阅读模式
本帖最后由 altyro 于 2010-11-11 20:28 编辑

大家好!这段时间以来实验室打开网页相当慢,但是ping的话时延却不高,比如ping新浪时延只有26-30ms,但打开新浪首页可能需要2-4分钟的时间。因此在Win7下使用Wireshark1.4.1截包,发现很多数据包都是黑色,包里IP协议的Header Checksum字段为0x0000。同时还发现有大量的外网SSDP数据包。

附件test2是在某个网段内截的包,在其他网段内截包亦是相同情况。附件test1是一台服务器(linux系统)下截包,也出现大量的数据包都是黑色,但并没有数据包报IP协议的Header Checksum错误,而是在TCP协议的Checksum字段报错,或者出现一个SEQ/ACK analysis字段:Reassembled PDU in frame,同时发现TCP频繁的重传。服务器和内网都是直连到一台防火墙上。

希望大家能帮忙看看是什么问题导致的,如果有什么没说明白的地方,请及时告知我,我尽快补充,万分感谢!

补上简单的拓扑图,见附件topo.png

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

altyro
 楼主| 发表于 2010-11-11 20:47:18 | 显示全部楼层
是不是我哪儿没有描述清楚?麻烦大家告诉我下,我及时补充,谢谢!
回复

使用道具 举报

long_323
发表于 2010-11-11 21:31:45 | 显示全部楼层
用着wireshark不爽,用科来打开的。
声明一下:科来已经对pcap数据包支持直接导入了,可以直接用科来打开linux系统中捕获的wireshark数据包。

LZ那,最近是不是新添了什么设备呢?
定位一下这台机器10.4.12.196,如图:

另外用科来对超过1518的数据包进行了过滤,如图:

发现网络中超过1518字节的数据包较多,如图:


是用的专门的网卡呢,还是做了哪些设置呢?
请LZ解释下,让俺也学习学习。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

altyro
 楼主| 发表于 2010-11-11 21:47:13 | 显示全部楼层
1、没有什么专门的网卡,10.4.12.196是我的联想笔记本,网卡是Intel的82567LM Giagabit,系统用的是Win7,网卡是默认设置,没有改过。另外一点就是同时使用了IPv6。
2、最近我们内网并没有添加设备,防火墙是H3C的F1000。但不排除防火墙之外的链路更换设备的可能。

另外,多谢回复!
回复

使用道具 举报

long_323
发表于 2010-11-11 21:55:17 | 显示全部楼层
这个专门的网卡指的是linux与防火墙之间的,你没注意到这些大包都是227和226的通话么?
肯定不是你笔记本上的
回复

使用道具 举报

altyro
 楼主| 发表于 2010-11-11 22:10:55 | 显示全部楼层
linux服务器(124.205.18.227)是一台很旧的浪潮服务器,网卡是Intel 8255x-based PCI Ethernet Adapter,防火墙(124.205.18.226)是H3C F1000。这台服务器一直再用,以前抓包没有发现这种状况。可不可能是防火墙的设置问题?另外,我的确没发现大包都是227和226之间的,wireshark也用的不太熟
回复

使用道具 举报

long_323
发表于 2010-11-11 22:14:49 | 显示全部楼层
嗯,看一下,我贴的第三个图就明白了。那是用科来做过滤之后的结果。
如果可以的话,还是用科来好用些!wireshark毕竟是英文的
回复

使用道具 举报

altyro
 楼主| 发表于 2010-11-11 22:17:59 | 显示全部楼层
我下科来再截下包看看。

目前为止,你觉得网段内有哪些问题?谢谢!
回复

使用道具 举报

long_323
发表于 2010-11-11 22:28:51 | 显示全部楼层
1、219.224.162.130,这个地址一直发送SSDP,而且频率较高。查一下网络中有没有这样的设备,可结合10.4.12.196这个地址去找。
2、看一下这些大包具体什么原因导致,这些数据包来自test这个文件
124.205.18.226:48794          124.205.18.227:5901     
可以着重关注一下这个会话,如果这个会话是临时的,那就只看5901 这个
回复

使用道具 举报

linminwww
发表于 2010-11-13 14:54:52 | 显示全部楼层
本帖最后由 linminwww 于 2010-11-13 14:56 编辑

看test.zip包中的数据包,防火墙正在与linUX进行VNC会话5901为VNC端口,
[local]1[/local]

是不是有人远程在控制linux服务器

219.224.162.130发SSDP协议的频率高是不是在下载上传在挂BT
回复

使用道具 举报

altyro
 楼主| 发表于 2010-11-14 12:57:42 | 显示全部楼层
10# linminwww
1、对,我用vnc连到该linux服务器上用wireshark抓包
2、是不是BT我不清楚,那个不是我们的服务器

我觉得难以理解的是为什么有这么多重传和重复的ACK信息。
回复

使用道具 举报

linminwww
发表于 2010-11-17 11:36:55 | 显示全部楼层
是你个人电脑变慢还是,整个和你同网段变慢,
TCP校验合出错,一是网卡启用了校验
再着是你网卡驱动

或者硬件出了问题
回复

使用道具 举报

岁月的童话
发表于 2010-12-24 13:51:52 | 显示全部楼层
能否在防火墙上联口抓包看看
内网的tcp错误,可能跟防火墙nat有关
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表