Comment trouver des paquets perdus avec Wireshark

Une connexion lente et retardée peut indiquer que des paquets sont abandonnés en transit. Bien qu’un certain niveau de perte de paquets soit acceptable dans certains scénarios, il peut gravement perturber l’expérience utilisateur dans d’autres, en particulier lors de la diffusion multimédia. De plus, le système peut supprimer complètement des paquets pour compenser le retard, et des données peuvent être perdues au cours du processus.

Voici comment savoir si vous avez affaire à des paquets abandonnés ou perdus avec Wireshark afin que vous puissiez rapidement diagnostiquer le problème.

Colis manqués ? Prenons-les

Lorsque les utilisateurs se plaignent d’un service lent ou d’un mauvais transfert de données, il est logique de supposer que la perte de paquets est à blâmer. Tous les paquets perdus ne sont pas abandonnés, mais un taux d’abandon élevé peut indiquer divers problèmes. Voici le processus pour vérifier si vous avez abandonné des paquets dans Wireshark.

1. Ouvrez l’ application de bureau Wireshark .

   

2. Assurez-vous que vous êtes en mode capture.

   

3. Trouvez la barre d’état en bas de la fenêtre.

   

Ici, vous verrez quelques statistiques sur les paquets que vous avez capturés. Le nombre à côté de « Dropped » indique si des paquets ont été abandonnés. Dans certaines versions, le compteur « Discarded » n’apparaît que si Wireshark n’a pas capturé tous les paquets.

Si vous êtes sûr que certains paquets ont été abandonnés, mais que la barre d’état ne vous aide pas, recherchez les statistiques des paquets abandonnés comme suit :

1. Cliquez sur « Statistiques » dans la barre de menu.

   

2. Sélectionnez Propriétés du fichier de capture. Une nouvelle fenêtre s’ouvrira.

   

3. Sous Interfaces, vous verrez Dropped Packets. Le nombre en dessous vous montrera combien de paquets n’ont pas été capturés.

   

Même si Wireshark ne capture pas tous les paquets, cela ne signifie pas qu’ils n’ont pas été transmis. Le programme peut tout simplement ne pas suivre le rythme rapide. Cependant, il est toujours capable d’accuser réception des paquets qui n’ont pas été interceptés avec un paquet ACK, car ce sont des paquets plus petits qui sont plus faciles à intercepter. Ainsi, vous pouvez souvent identifier les paquets abandonnés en recherchant les ACK dans la colonne d’informations. L’ACK vous indique que les données ont été transmises avec succès malgré l’absence de paquet.

Enquête sur les paquets perdus

Les paquets non capturés ne sont pas égaux aux paquets perdus. Alors que les paquets que Wireshark n’a pas capturés peuvent toujours atteindre leur destination, les paquets perdus ne le font pas. Au lieu de cela, ils sont généralement retransmis et supprimés uniquement dans le pire des cas. Pour enquêter sur les paquets perdus sur un segment TCP, vous devez examiner attentivement la colonne d’informations sur l’écran de capture.

1. Sélectionnez la conversation que vous souhaitez explorer et appliquez-la en tant que filtre. Ce n’est pas obligatoire, mais cela vous aidera à avoir une meilleure vue d’ensemble.

   

2. Choisissez l’un des forfaits.

   

3. Cliquez sur Internet Protocol Version 4 sous Détails.

   

4. Trouvez le numéro d’identification et faites un clic droit dessus, puis cliquez sur « Appliquer comme colonne ».

   

Vous pouvez maintenant voir le numéro d’identification de série de chaque transmission. Passez en revue les chiffres pour trouver toute anomalie. N’oubliez pas que dans TCP, les paquets perdus peuvent être retransmis plus tard, donc même si une transmission n’est pas en place, elle peut toujours être là plus loin. Vous pouvez le trouver par numéro d’identification.

Chaque fois qu’un paquet ne peut pas être transmis, vous verrez le message « Segment précédent non capturé » dans la colonne « Info » de la ligne suivante. Vous pouvez également rechercher des paquets perdus dans toutes les conversations en les filtrant par ce message d’erreur. Tapez « tcp.analysis.lost_segment » dans la ligne de filtre et appuyez sur Entrée. Vous pouvez également combiner cela avec des filtres d’adresse IP ou de conversation en tapant « et » entre les deux filtres pour obtenir un résultat plus précis. Encore une fois, vous pouvez rechercher des paquets perdus après avoir déterminé leurs numéros d’identification.

Comme mentionné, TCP permet aux segments perdus d’être retransmis ultérieurement. Vous pouvez utiliser le filtre « tcp.analysis.retransmission » pour retrouver vos retransmissions. La recherche de paquets retransmis peut parfois être plus productive que la recherche de segments perdus, car les segments perdus peuvent inclure plusieurs paquets et les retransmissions sont des paquets individuels.

Suivre les paquets perdus avec Wireshark

Déterminer si un paquet a été perdu ou abandonné par Wireshark n’est pas toujours facile. Il ne suffit généralement pas de considérer une seule métrique, plusieurs facteurs doivent être pris en compte. Les paquets abandonnés atteignent souvent leur destination indemnes, tandis que de nombreux paquets perdus peuvent dégrader l’expérience utilisateur.