Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.

Veamos parte de la una captura cualquiera:

Podemos observar que de momento no hay problema alguno. La transmisión de paquetes entra dentro de lo normal.

Sin embargo, en un momento de la captura, nos encontramos ya con algún problema:

Vemos notaciones como TCP Previous segment lost, TCP Dup ACK y TCP Retransmission.

Vamos a analizar la captura.

TCP Previous segmento lost (frame 188) nos indica que un segmento TCP anterior ha fallado. Un TCP Dup ACK (frame 189) puede deberse a un desorden de paquetes que hace que el receptor provoque un ACK duplicado ante un segmento que no sigue la secuencia normal. Vemos la duplicidad de secuencias (Seq=2313). Puede ser también debido a la perdida de algún segmento de datos. Al recibir segmentos no ordenados, se genera ACKs duplicados, reenvía nuevamete el mismo ACK (acuse de recibo), es decir nuevos requerimientos para recibir el segmento de forma correcta. ( Vemos el ACK=4126 repetido).

El problema también puede deberse a incremento de tiempo en la trasmisión del paquete, retraso del paquete, con lo que se espera nuevos ACKs duplicados.

Normlamente la pérdida de orden secuencia es notificado por Tshark con la notación TCP Out-Of-Order segment.

Por regla general:

• Solo se esperan hasta 3 ACKs duplicados.
• Uno o dos ACKs duplicados indica una reordenación de los segmentos.
• Tres o más ACKs duplicados indica que se perdió el paquete.

TCP Retransmission ocurre, explicado de forma muy básica, cuando el cliente no obtiene respuesta a un requerimiento y vuelve a reintentarlo.

En resúmen podemos decir que cuando ocurre un TCP Previous segment lost se indica que durante el curso de transferencia de datos, un paquete se ha perdido o tarda en ser transmitido. En respuesta, el cliente envía un paquetel TCP Dup ACK al servidor, solicitando que el paquete perdido sea enviado nuevamente. El cliente seguirán enviando ACKs duplicados hasta que sea atendida la petición.

ACKs Duplicados.

Cuando se pierde algún segmento de datos tanto por errores del canal o por problemas de congestión TCP recibe segmentos fuera de orden y en consecuencia genera ACK duplicados. Puede ser consecuencias de picos de retardo o desorden de paquetes. Podemos decir entonces que los ACKs duplicados son síntomas también de un problema en nuestra red.

Cuando se reciban 3 ACKs duplicados es entonces cuando aparece el mecanismo de Fast Retransmit o Retransmision rápida que vemos en las capturas que consiste en la retransmisión de segmento perdido.

Abajo, uso de Expert Info para visualizar los eventos de ACK Duplicados:

ACKs Duplicados en Tshark:

Hasta aquí todo explicado de forma muy básica. En próximos capítulos iremos profundizando en estos conceptos y estudiaremos los mecanismo de TCP para evitar la congestión, etc.