wireshark异常数据，wireshark异常数据

[TCP Spurious Retransmission]

- TCP虚假重传

发送端认为发送的package已经丢失了，所以重传了，尽管此时接收端已经发送了对这些包的确认。

指实际上并没有超时，但看起来超时了，导致虚假超时重传的原因有很多种：

（1）对于部分移动网络，当网络发生切换时会导致网络延时突增

（2）当网络的可用带宽突然变小时，网络rtt会出现突增的情况，这会导致虚假超时重传

（3）网络丢包（原始和重传的包都有可能丢包）会导致虚假重传超时。

[Reassembly error, protocol TCP: New fragment overlaps old data (retransmission?)]

-重新组装错误，协议TCP:新片段与旧数据重叠(重新传输?)

[TCP Retransmission]

- 超时引发的数据重传。

我的另一篇文章《tcp retransmission原因解析》

[TCP Dup ACK xxx#y]

- 重复应答seq=xxx的表示报文到哪个序号丢失，y表示第几次丢失。

当package发生乱序或者丢失时，接收端会收到一些seq比期望值更大的package。
每收到一次这种package就ack一次期望值，用以提醒发送方。

[TCP Out-Of-Order]

- 次序颠倒

出现这个信息的原因就是因为数据在传输过程中顺序乱了，也就是后一个package的seq会小于前一个package的seq+len。

[TCP Fast Retransmission]

- 快速重传

当发送发接收到3个或以上的[TCP Dup ACK]，就意识到之前发的包可能丢了，于是快速重传package。

[TCP Previous segment not captured]

- 未捕获TCP先前的段，意思就是出现报文的丢失，报文没有捕捉到。

tcp连接建立后，针对同一台主机的发包情况进行叙述。正常情况下，后一个package的seq等于前一个package的seq+len。而在实际传输过程中经常会产生数据丢失的问题，这种情况下，后一个Package的seq会大于前一个package的seq+len，实际的网络包的显示效果就是”TCP Previous segment not captured”。
重点：later package’s seq > previous package’s seq + data len

[TCP segment of a reassembled PDU]

在用Wireshark抓包的时候，经常会看到TCP segment of a reassembled PDU，字面意思是要重组的协议数据单元（PDU：Protocol Data Unit）的TCP段。比如由多个数据包组成的HTTP协议的应答包，如下

这里的分段是指：上层协议HTTP的应答由多个分段组成，每个分段都是TCP协议的。TCP本身没有分段的概念，它的sequence number和acknowledge number 是使TCP是基于流的协议的支撑，TCP segment of a reassembled PDU的出现是因为Wireshark分析了其上层的HTTP协议而给出的摘要，如果配置Wireshark不支持HTTP协议解析

那么，同样的数据包就会变成下面的样子

每个TCP数据包都是这条流中的自身完整的一部分，TCP segment应该表述为分段是TCP协议，而不应该是TCP分段。

https://www.cnblogs.com/yinghao1991/p/7532889.html

 

[TCP Keep-Alive]

- 保持连接特性 socket 发起方发包

[TCP Keep-Alive ACK]

- 保持连接特性 socket 应答方发包