Cómo encontrar paquetes perdidos con Wireshark

Una conexión lenta y retrasada puede indicar que los paquetes se están descartando en tránsito. Si bien un cierto nivel de pérdida de paquetes es aceptable en algunos escenarios, puede interrumpir gravemente la experiencia del usuario en otros, especialmente cuando se transmiten medios. Además, el sistema puede descartar paquetes por completo para compensar el retraso y es posible que se pierdan datos en el proceso.

Aquí le mostramos cómo saber si está lidiando con paquetes caídos o perdidos con Wireshark para que pueda diagnosticar rápidamente el problema.

¿Paquetes perdidos? vamos a tomarlos

Cuando los usuarios se quejan de la lentitud del servicio o de la mala transferencia de datos, es lógico suponer que la culpa es de la pérdida de paquetes. No todos los paquetes perdidos se eliminan, pero una tasa alta de eliminación puede indicar varios problemas. Este es el proceso para verificar si ha descartado paquetes en Wireshark.

1. Abra la aplicación de escritorio Wireshark .

   

2. Asegúrate de estar en modo de captura.

   

3. Busque la barra de estado en la parte inferior de la ventana.

   

Aquí verá algunas estadísticas sobre los paquetes que ha capturado. El número junto a «Dropped» indica si se descartaron paquetes. En algunas versiones, el contador «Desechado» solo aparece si Wireshark no ha capturado todos los paquetes.

Si está seguro de que se han descartado algunos paquetes, pero la barra de estado no ayuda, busque las estadísticas de paquetes descartados de la siguiente manera:

1. Haga clic en «Estadísticas» en la barra de menú.

   

2. Seleccione Propiedades del archivo de captura. Una nueva ventana se abrirá.

   

3. En Interfaces, verá Paquetes descartados. El número debajo le mostrará cuántos paquetes no fueron capturados.

   

Incluso si Wireshark no captura todos los paquetes, eso no significa que no se hayan transmitido. Es posible que el programa simplemente no se mantenga al día con el flujo rápido. Sin embargo, aún puede reconocer paquetes que no fueron capturados con un paquete ACK, ya que estos son paquetes más pequeños que son más fáciles de capturar. Por lo tanto, a menudo puede identificar paquetes perdidos buscando ACK en la columna de información. El ACK le dice que los datos se transmitieron con éxito a pesar de la ausencia de un paquete.

Investigación de paquetes perdidos

Los paquetes no capturados no son iguales a los paquetes perdidos. Si bien los paquetes que Wireshark no capturó aún pueden llegar a su destino, los paquetes perdidos no lo hacen. En cambio, generalmente se retransmiten y eliminan solo en el peor de los casos. Para investigar paquetes perdidos en un segmento TCP, debe examinar cuidadosamente la columna de información en la pantalla de captura.

1. Seleccione la conversación que desea explorar y aplíquela como filtro. Esto no es obligatorio, pero le ayudará a obtener una mejor visión general.

   

2. Elige cualquiera de los paquetes.

   

3. Haga clic en Protocolo de Internet versión 4 en Detalles.

   

4. Busque el número de identificación y haga clic con el botón derecho en él, luego haga clic en «Aplicar como columna».

   

Ahora puede ver el número de identificación de serie de cada transmisión. Revise los números para encontrar cualquier discrepancia. Recuerde que en TCP, los paquetes perdidos se pueden retransmitir más tarde, por lo que incluso si no se realiza una transmisión, es posible que aún esté allí. Puede encontrarlo por número de identificación.

Siempre que no se pueda transmitir un paquete, verá el mensaje «Segmento anterior no capturado» en la columna «Información» de la siguiente línea. También puede buscar paquetes perdidos en todas las conversaciones filtrándolos por este mensaje de error. Escriba «tcp.analysis.lost_segment» en la línea de filtro y presione Entrar. También puede combinar esto con la dirección IP o los filtros de conversación escribiendo «y» entre los dos filtros para obtener un resultado más preciso. Nuevamente, puede buscar paquetes perdidos después de determinar sus números de identificación.

Como se mencionó, TCP permite que los segmentos perdidos se retransmitan más tarde. Puede usar el filtro «tcp.analysis.retransmission» para encontrar sus retransmisiones. Encontrar paquetes retransmitidos a veces puede ser más productivo que encontrar segmentos perdidos, porque los segmentos perdidos pueden incluir más de un paquete y las retransmisiones son paquetes individuales.

Seguimiento de paquetes perdidos con Wireshark

Determinar si Wireshark perdió o descartó un paquete no siempre es fácil. Por lo general, no es suficiente considerar una sola métrica, se deben considerar varios factores. Los paquetes descartados a menudo llegan a su destino ilesos, mientras que muchos paquetes perdidos pueden degradar la experiencia del usuario.