Wireshark专家模式定位网络故障:14种TCP异常深度解剖

  信息安全, 知识点

🦈Wireshark 101: Finding Passwords & Credentials in Plain Text Traffic | by Ahmed | Medium

一、TCP连接建立故障

1. SYN风暴攻击(案例号:TCP-001)

现象:服务器性能骤降,防火墙告警SYN泛洪
Wireshark证据

tcp.flags.syn == 1 and tcp.flags.ack == 0  # 过滤纯SYN包
  • • 统计视图显示单一目标IP接收数千SYN包
  • • 专家系统提示[TCP Previous segment not captured]激增
    诊断结论:分布式SYN Flood攻击,需启用SYN Cookie防护

2. 端口无响应(案例号:TCP-002)

现象:客户端连接特定服务超时
抓包关键点

(ip.dst == 10.1.1.100 and tcp.dstport == 8080) and (tcp.flags.syn == 1)
  • • 客户端连续发送3次SYN包(间隔1s/3s/7s)
  • • 无任何SYN-ACK或RST响应
    根因定位:目标服务器防火墙丢弃流量或进程崩溃

3. 异常RST阻断连接(案例号:TCP-003)

现象:连接建立后立即中断
关键过滤

tcp.flags.reset == 1 and tcp.seq == 1  # 序列号为1的RST
  • • 三次握手成功后,服务端立即返回RST
  • • Possible Causes
    • • 应用进程崩溃(检查ss -tulp | grep <port>
    • • 中间设备策略阻断(如AWS安全组)

二、数据传输故障

4. 零窗口停滞(案例号:TCP-004)

现象:文件传输卡顿
诊断工具

tcp.window_size == 0  # 零窗口通告
  • • 接收方持续发送Win=0通告
  • • 专家系统标记[TCP ZeroWindow]
    解决方案:检查接收方应用处理能力(如磁盘IO阻塞)

5. 重传风暴(案例号:TCP-005)

Wireshark黄金过滤器

tcp.analysis.retransmission  # 官方重传标记

类型精判

  • • 超时重传:连续3次相同Seq号包
  • • 快速重传:收到3个重复ACK后的重传
  • • 乱序触发:专家系统提示[TCP Out-of-Order]

6. SACK异常(案例号:TCP-006)

现象:高速传输时吞吐量骤降
深度解析

tcp.options.sack  # 过滤SACK选项
  • • 接收方通告SACK但发送方持续重传完整窗口
  • • 故障点:发送端未实现SACK逻辑(常见老旧设备)

三、连接终止故障

7. FIN未确认(案例号:TCP-007)

现象:连接长期处于FIN_WAIT状态
抓包策略

(tcp.flags.fin == 1) and !(tcp.flags.ack == 1)  # 未确认的FIN
  • • 发起方发送FIN后未收到ACK
  • • 关联分析:防火墙阻断FIN包(尤其跨安全域)

8. RST暴力中断(案例号:TCP-008)

高级过滤

tcp.flags.reset == 1 and tcp.seq > 1  # 非握手阶段RST

根因矩阵

RST发起方
常见原因
客户端
应用超时/用户强制关闭
服务端
协议不兼容/内存溢出
中间设备
会话超时/策略阻断

四、协议栈异常

9. 校验和错误(案例号:TCP-009)

关键配置
编辑 → 首选项 → Protocols → TCP → 取消”Validate checksum”
故障标识

  • • 包列表[Checksum Incorrect]警告
  • • 专家系统[Bad TCP]错误

10. 窗口缩放失效(案例号:TCP-010)

现象:千兆链路传输速率不足百兆
诊断步骤

  1. 1. 过滤握手阶段Window Scale选项:

    tcp.options.wscale
  2. 2. 确认双方协商值非0(未禁用缩放)
    避坑点:中间设备剥离TCP选项导致协商失败

五、高级诊断技术

11. 吞吐量骤降定位(案例号:TCP-011)

组合分析法

  1. 1. I/O Graph:发现吞吐量断崖下跌时间点
  2. 2. Time-Sequence Graph:定位具体连接
  3. 3. 过滤重传+零窗口

    tcp.analysis.retransmission or tcp.window_size == 0

12. 应用层超时溯源(案例号:TCP-012)

场景:数据库查询间歇性超时
操作链

  1. 1. 捕获超时时刻流量
  2. 2. 过滤特定连接:

    tcp.stream eq 12  # 替换为实际流编号
  3. 3. 检查[Time since previous frame]
    • • 服务端响应延迟 > 应用超时阈值
    • • 网络无丢包/重传

13. MTU黑洞问题(案例号:TCP-013)

现象:大文件传输必失败
Wireshark铁证

icmp.type == 3 and icmp.code == 4  # 需分片但DF置位
  • • 中间路由器返回Fragmentation Needed的ICMP
  • • 发送端未收到(被防火墙丢弃)

14. TCP粘包拆包异常(案例号:TCP-014)

应用层诊断

  1. 1. 开启Allow subdissector to reassemble TCP streams
  2. 2. 追踪特定流应用数据:

    tcp.stream eq 5 and (http or mysql)
  3. 3. 检查单帧载荷长度超过应用缓冲区

从数据包看到问题本质

Wireshark对TCP的深度解析能力,使其成为网络故障诊断的“电子显微镜”。通过本文14个典型案例可见:

  1. 1. 精准过滤是基础:掌握tcp.analysis过滤器族
  2. 2. 专家系统是指南:关注Warning级及以上事件
  3. 3. 时序分析定乾坤:利用IO Graph/Time-Sequence关联故障

当你下次面对飘红的监控大屏时,请记住:每一个TCP异常包都是网络发出的求救信号,而Wireshark正是破译这些信号的密码本。