λ capinfos Sample04.pcapngFile name:           Sample04.pcapngFile type:           Wireshark/... - pcapngFile encapsulation:  EthernetFile timestamp precision:  microseconds (6)Packet size limit:   file hdr: (not set)Number of packets:   33File size:           6228 bytesData size:           5005 bytesCapture duration:    38.709141 secondsFirst packet time:   2011-01-14 01:14:52.475277Last packet time:    2011-01-14 01:15:31.184418Data byte rate:      129 bytes/sData bit rate:       1034 bits/sAverage packet size: 151.67 bytesAverage packet rate: 0 packets/sSHA256:              48ca202b8b7c2cf0fd20fe0909cae6cd2a30fbdbdad17492a5cab7f2749bb745RIPEMD160:           151de4053735268f9943f00403f72aef66debf42SHA1:                a3fb91edd6db023edb2648f6d69dfafb2b7c6a27Strict time order:   TrueCapture comment:     Sanitized by TraceWrangler v0.6.4 build 808Number of interfaces in file: 1Interface #0 info:                     Encapsulation = Ethernet (1 - ether)                     Capture length = 65535                     Time precision = microseconds (6)                     Time ticks per second = 1000000                     Time resolution = 0x06                     Number of stat entries = 0                     Number of packets = 33
λ

关于 TraceWrangler 匿名化软件简介，可以查看之前的文章《Wireshark 提示和技巧 |  如何匿名化数据包》

问题分析

TCP Previous segment not caputred

Set when the current sequence number is greater than the next expected sequence number.

1. 所捕获的原始 TCP 会话发生了丢包。如果是这种情况，镜像流量是原样复制了一份，原本就少了部分数据包，自然所捕获到的数据包也相应就少一部分。
2. 所捕获的原始 TCP 会话数据包交互正常，但在镜像流量的过程中发生了丢包，也就是说镜像捕获丢包，如果是这样的情况，也同样会告警提示某些段未被捕获到。

1. 所捕获的原始 TCP 会话发生了丢包。如果是这种情况，因为丢包，原始会话自然会进行重传之类的动作，在之后所捕获到的数据包自然也可以看到相关现象。（需要区分重传和乱序）
2. 所捕获的原始 TCP 会话数据包交互正常，但镜像捕获丢包，如果是这样的情况，自然原始会话会正常 ACK 该分段，而捕获的数据包看到这个 ACK，会相应提示 ACKed segment that wasn't caputred 信息，因为捕获的跟踪文件中实际没有这个分段。

类似文章和案例很多，有兴趣的同学可以查看《丢包？不要轻易下结论》、《丢包？不要轻易下结论续》、《TCP Previous Segment Lost》等。

1. No.1 和 No.2，首先是一对 DNS 请求和响应，查询 www.boerse-stuttgart.de，以及响应的 A 记录 IP 217.110.67.201;
   

2. 从 No.3 开始，客户端发起了到服务器 HTTP 80 的访问，也就是 TCP Stream 0，在 TCP 正常三次握手后，客户端发起的 HTTP 请求，服务器响应 301 重定向，http -> https 跳转 。

当然可能是 TraceWrangler 匿名化应用的问题，服务器端 IP 0.115.64.211（被修改过），和 DNS 响应中的 IP（217.110.67.201）并不一致，小问题可忽略。

3. 因此从 No.8 开始，客户端发起了到服务器 HTTPS 443 的访问，也就是 TCP Stream 1 ，在 TCP 正常三次握手后，在进行 TLS 握手时发生了问题。

1. TCP 三次握手中，注意双方通告后的结果，MSS 为 1380 字节；
2. 客户端 No.11 Client Hello 发送出去后，理论上应该是收到服务器端的 Server Hello，但是却发生了丢包，无任何数据包收到后，因此 No.13 客户端发生超时重传；
3. 服务器端 No.14  Seq 4141 以及 TCP Previous segment not caputred, 说明了丢失了 4140 字节的分段，也就是 4140/1380 = 3，刚好 3 个 MSS 的数据包。说明服务器按 MSS 1380 所发送出来的数据包，在中间传输时被丢弃了，这种情况判断是中间路径 MTU 小于 1420 （1380+40）导致；（传输路径 MTU 问题）
4. 之后服务器方面也并没有啥补救措施，在客户端 No.15 DUP ACK 仍然请求数据分段 Seq 1 的情况下，服务器陷于沉寂，当然这是站在客户端的抓包角度上来说，从服务器方面来说肯定是在重传，不断重传；
5. 最后客户端在 30 秒后忍无可忍，FIN 断开连接，Over 。

往期推荐

1. Wireshark 提示和技巧 | 捕获点之 TCP 三次握手

2. Wireshark 提示和技巧 | a == ${a} 显示过滤宏

3. Wireshark TS | Slow Slow Slow Web

4. Wireshark TS | 消失的 TCP DUP ACK

5. 网络设备 MTU MSS Jumboframe 全解

后台回复「TT」获取 Wireshark 提示和技巧系列 合集

后台回复「TS」获取 Wireshark Troubleshooting系列 合集

如需交流，可后台直接留言，我会在第一时间回复，谢谢！

原文始发于微信公众号（Echo Reply）：Wireshark TS | 访问网页失败