Eine langsame, verzögerte Verbindung kann ein Hinweis darauf sein, dass Pakete während der Übertragung verloren gehen. Während ein gewisses Maß an Paketverlust in manchen Szenarien akzeptabel ist, kann es in anderen, insbesondere beim Streamen von Medien, das Benutzererlebnis ernsthaft beeinträchtigen. Darüber hinaus kann das System Pakete vollständig verwerfen, um die Latenz auszugleichen, und dabei können Daten verloren gehen.
So ermitteln Sie mit Wireshark, ob es sich um verlorene Pakete handelt, damit Sie das Problem umgehend diagnostizieren können.
Verloren gegangene Pakete? Lasst sie uns aufsammeln
Wenn Benutzer sich über einen langsamen Dienst oder eine schlechte Datenübertragung beschweren, ist es logisch anzunehmen, dass Paketverluste die Ursache sind. Nicht alle verlorenen Pakete werden gelöscht, aber eine hohe Verlustrate kann dennoch auf verschiedene Probleme hinweisen. So überprüfen Sie, ob Sie in Wireshark Pakete verloren haben.
- Öffnen Sie das Wireshark Desktop-App.
- Stellen Sie sicher, dass Sie sich im Aufnahmemodus befinden.
- Suchen Sie unten im Fenster nach der Statusleiste.
Hier sehen Sie einige Statistiken zu den Paketen, die Sie erfasst haben. Die Zahl neben „Verworfen“ gibt an, ob Pakete verworfen wurden. In einigen Versionen wird der Zähler „Verworfen“ nur angezeigt, wenn Wireshark nicht alle Pakete erfasst hat.
Wenn Sie sicher sind, dass einige Pakete verloren gegangen sind, die Statusleiste aber keine Auskunft gibt, können Sie die Statistiken zu Ihren verloren gegangenen Paketen folgendermaßen ermitteln:
- Klicken Sie in der Menüleiste auf „Statistik“.
- Wählen Sie „Eigenschaften der Aufnahmedatei“. Ein neues Fenster wird geöffnet.
- Unter „Schnittstellen“ sehen Sie „Verworfene Pakete“. Die Zahl darunter gibt an, wie viele Pakete nicht erfasst wurden.
Auch wenn Wireshark nicht alle Pakete erfasst, heißt das nicht, dass sie nicht übertragen wurden. Das Programm kann bei einem schnellen Datenstrom einfach nicht mithalten. Trotzdem kann es Pakete, die nicht erfasst wurden, mit einem ACK-Paket bestätigen, da es sich dabei um kleinere Pakete handelt, die leichter zu erfassen sind. Daher können Sie verlorene Pakete oft identifizieren, indem Sie in der Info-Spalte nach ACKs suchen. Das ACK zeigt Ihnen an, dass die Daten trotz des fehlenden Pakets erfolgreich übertragen wurden.
Untersuchen verlorener Pakete
Nicht erfasste Pakete sind nicht gleichbedeutend mit verlorenen Paketen. Pakete, die Wireshark nicht erfasst hat, können zwar trotzdem an ihrem Ziel ankommen, verlorene Pakete tun dies jedoch nicht. Stattdessen werden sie normalerweise erneut übertragen und nur im schlimmsten Fall gelöscht. Um verlorene Pakete in einem TCP-Segment zu untersuchen, müssen Sie sich die Info-Spalte in Ihrem Erfassungsbildschirm genauer ansehen.
- Wählen Sie eine Konversation aus, die Sie untersuchen möchten, und wenden Sie sie als Filter an. Dies ist nicht zwingend erforderlich, hilft Ihnen aber dabei, einen besseren Überblick zu erhalten.
- Wählen Sie eines der Pakete aus.
- Klicken Sie im Abschnitt „Details“ auf „Internetprotokoll Version 4“.
- Suchen Sie die Identifikationsnummer, klicken Sie mit der rechten Maustaste darauf und drücken Sie dann „Als Spalte anwenden“.
Jetzt können Sie die fortlaufende Identifikationsnummer jeder Übertragung sehen. Sehen Sie sich die Nummern an, um Unstimmigkeiten zu finden. Denken Sie daran, dass verlorene Pakete bei TCP später erneut übertragen werden können. Selbst wenn also eine Übertragung an ihrer Stelle fehlt, kann sie weiter unten noch vorhanden sein. Sie können sie anhand ihrer Identifikationsnummer suchen.
Wenn die Übertragung eines Pakets fehlschlägt, wird in der Infospalte der folgenden Zeile die Meldung „Vorheriges Segment nicht erfasst“ angezeigt. Sie können auch in allen Konversationen nach verlorenen Paketen suchen, indem Sie sie nach dieser Fehlermeldung filtern. Geben Sie „tcp.analysis.lost_segment“ in die Filterleiste ein und drücken Sie die Eingabetaste. Sie können dies auch mit IP-Adress- oder Konversationsfiltern kombinieren, indem Sie zwischen den beiden Filtern „und“ eingeben, um ein präziseres Ergebnis zu erhalten. Auch hier können Sie nach den verlorenen Paketen suchen, nachdem Sie ihre Identifikationsnummern ermittelt haben.
Wie erwähnt, ermöglicht TCP die spätere erneute Übertragung verlorener Segmente. Sie können den Filter „tcp.analysis.retransmission“ verwenden, um Ihre erneuten Übertragungen zu finden. Die Suche nach erneut übertragenen Paketen kann manchmal produktiver sein als die Suche nach verlorenen Segmenten, da verlorene Segmente mehr als ein Paket enthalten können, während erneute Übertragungen einzelne Pakete sind.
Verlorene Pakete mit Wireshark aufspüren
Es ist nicht immer ganz einfach festzustellen, ob ein Paket von Wireshark verloren gegangen oder verworfen wurde. Normalerweise reicht es nicht aus, nur eine einzige Kennzahl zu betrachten, sondern Sie müssen mehrere Faktoren berücksichtigen. Verworfene Pakete kommen oft unbeschadet an ihrem Ziel an, während viele verlorene Pakete zu einer schlechten Benutzererfahrung führen können.
