常連

### 前提・実現したいこと

HTTPS通信を行いたい機器のパケットをキャプチャしたところ、[RST,ACK]が発生していることがわかりました。
この原因をwiresharkで解析したいのですが、見方が分かりません。

パケットを解析すると、Flagsは0x018 を示しており、”Acknowledgment : Set”とされ、他は全てNot setとなっています。
これは何を意味するのでしょうか？

また、このパケットが xxxxx → yyyy という風にポート番号の向きを示しているとき、xxxxxがyyyyの接続を拒否したという認識であっていますでしょうか？ 


御教授よろしくお願いします。

RSTパケットが送られる原因について

まずWiresharkでキャプチャした情報をCSV形式で保存して、それをエクセルで開いてVBAを使って重複削除して送信元IPアドレスと宛先IPアドレスの組み合わせをリストアップします。次にWiresharkのフィルターで「tcp.analysis.flags && !tcp.analysis.window_update」 と入力して問題のあるパケット（黒色の物）を抽出して、「TCP Spurious Retransmission」、「TCP ACKed unseen segment」などと表示されるので、それを組み合わせリストと照らし合わせて該当する通信はパケットロスが発生している。という方法でパケットロスがあるかないかを調べようと思うのですが、この考え方は合っているのでしょうか？もっと良いやり方があれば教えてください。よろしくお願いいたします。

Wiresharkでパケットロスを調べる方法

### 前提・実現したいこと

TLS1.2の通信をwiresharkでキャプチャしたのですが、切断の原因が分かりません。

2019/1/9 追記
SSLハンドシェイクは正常に終了しているように見えます。
サーバー側から"finished"を送信し、一度"Application Data"のやりとりをした後、SSLが切断されます。
どのような原因が考えられますでしょうか？
お手数ですが御教授ください。


### 発生している問題・エラーメッセージ

TLSv1.2のパケットを順に見ていくと、

Client Hello
Server Hello, Certificate, Server Hello Done
Client Key Exchange, Change Cipher Spec, Finished
New Session Ticket, Change Cipher Spec, Finished
Application Data
Alert
Alert
Alert
Alert

となり、また先頭のClient Helloからを繰り返す状況です。

Alertの中身は以下の画像の通りになっていました。
close_notifyが送信された原因は何でしょうか？
SSLハンドシェイクが終了しているので、正常に通信が継続されるはずではないでしょうか？

![![キャプチャ](23fdcac8efd176cbeb9c099f01e0575d.jpeg)]


お手数ですが御教授よろしくお願いします。

HTTPS通信がSSLハンドシェイク終了後に切断される

### 実現したいこと
wiresharkをWSL2のKalilinux上で動かせるようにしたい。

### 発生している問題・分からないこと
実行するとエラーが出てくる![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2025-01-29/728b29d6-fef4-47a5-acae-1dbb7c99e225.png)

### エラーメッセージ
```error
└─# wireshark
 ** (wireshark:83488) 19:36:56.236876 [GUI WARNING] -- could not connect to display 8.8.8.8
1.1.1.1:0
 ** (wireshark:83488) 19:36:56.236954 [GUI WARNING] -- From 6.5.0, xcb-cursor0 or libxcb-cursor0 is needed to load the Qt xcb platform plugin.
 ** (wireshark:83488) 19:36:56.236999 [GUI ERROR] -- This application failed to start because no Qt platform plugin could be initialized. Reinstalling the application may fix this problem.

Available platform plugins are: minimal, wayland, linuxfb, wayland-egl, xcb, eglfs, vkkhrdisplay, minimalegl, vnc, offscreen.

 ** (wireshark:83488) Aborting on fatal log level exception
Aborted
```

### 該当のソースコード

```
特になし
```

### 試したこと・調べたこと
- [ ] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [x] その他

##### 上記の詳細・結果
chatgptに頼って解決しようとしたが、解決できなかった。

### 補足
特になし

WSL2(KaliLinux)でのwiresharkが開かないエラー

### 前提

Windows Server 2019 (Amazon EC2) 上のスクリプトから
Azure 上のWebサーバに置いてある Web API に対して HTTPリクエストを投げているのですが、
今年の8月上旬ころから Connection Reset が返されるようになってしまいました。

当該APIは処理に40～50分程度時間がかかるのですが、APIがレスポンスを返す前に
Azure Load BalancerのTCPアイドルタイムアウト（最小4分～最大30分) にひっかかり
Connection Reset を返しているようです。
↓
https://learn.microsoft.com/ja-jp/azure/load-balancer/load-balancer-tcp-reset

そもそもAPIの処理に時間かかりすぎなので API側の処理時間の見直しは必要ですが、
並行して Connection Reset を回避するため
上記URLにガイドのある通り、TCP keep-alive を使って対応したいと考えています。

以下ドキュメントによると、Windowsでは以下レジストリ
	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\TCPIP\Parameters
に
KeepAliveTime という項目を設定すれば
すべてのTCP通信に KeepAlive が適用されるということだったので

KeepAliveTime  REG_DWORD   0x0002bf20  (180000)

という値を仕込みました。最後のデータの送受信が行われてから、
KeepAlive パケットを送信するまでの時間として180秒を設定するという意図です。
↓
https://social.technet.microsoft.com/Forums/ja-JP/30897df3-dc52-4c92-808b-ac01cc6936ee/tcp?forum=Wcsupportja

が、Wiresharkで確認する限り 180秒経ってもパケットを送信してないように見えます。
設定する場所が違うのでしょうか？あるいは、設定内容が間違っている？

### 実現したいこと

APIの呼び元である Windows Server 2019 側に TCP KeepAlive を仕込みたい。
KeepAliveTime を180秒とすることで、通信して180秒 音沙汰がなければ 
KeepAlive パケットを投げるように仕込みたい。

### 発生している問題・エラーメッセージ

Windows Server 2019 にWiresharkをインストール、
Wireshark で当該ロードバランサとの通信ログを確認した。
15分かかる処理を呼び出したが、初回のTCP通信後180秒を経過しても 
KeepAlive パケットを投げているログが確認できなかった。

### 該当のソースコード

設定したレジストリのキーと値

```Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\TCPIP\Parameters
KeepAliveTime  REG_DWORD   0x0002bf20  (180000)
```

Windows Server 2019 からWeb APIを呼び出しているコード (リクエスト先URLは省略)
```PowerShell
$FILE_SUFFIX = (Get-Date).ToString("yyyyMM")
$LOG_FILE = "script_$FILE_SUFFIX.log"
Invoke-WebRequest -Method Post -Body "datetime_from=2022-10-01 00:00:00" http://~~~~ 2>&1 >> $LOG_FILE
```

### 試したこと

KeepAliveTime の値を240000に変えてテストしてみたが変化なし。

### 補足情報（FW/ツールのバージョンなど）

ありません


Windows Server 2019でのTcpKeepAliveの設定方法

### 実現したいこと
raspberrypiのapacheサーバーからテキストファイルをダウンロードするスクリプトを書き、ハンドシェイクはうまくいっているのですが受信したことを知らせるackの送信がうまくいかないためサーバーが再送を繰り返します。
よろしくお願いします。

### 発生している問題・分からないこと
ログを見るとオバーフローしているのか値が変化してしまっているように見えます。あまり詳しくないのでわかりません。すみません。



### 該当のソースコード

```python3
print(last_ack)
print(ack_num)
packet = IP(dst=TARGET_IP, src=SRC_IP) / TCP(dport=TARGET_PORT,
                                                     　　　　　　sport=SRC_PORT, flags="A",
                                                     　　　　　　seq=int(last_ack), 
　　　　　　　　　　　　　　　　　　　　　　　　ack=int(ack_num))
send(packet, verbose=True)
```

```ログ
pythonログ:
50
2250127638


Wireshark:
10896	16.015969	192.168.11.55	192.168.11.66	TCP	54	65432 → 80 [ACK] Seq=4294966346 Ack=537 Win=8192 Len=0



全体のやり取り

6377	10.904455	192.168.11.55	192.168.11.66	TCP	54	65432 → 80 [SYN] Seq=0 Win=8192 Len=0
6378	10.904770	192.168.11.66	192.168.11.55	TCP	60	80 → 65432 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS=1460
6379	10.908132	192.168.11.55	192.168.11.66	TCP	54	65432 → 80 [ACK] Seq=1 Ack=1 Win=8192 Len=0
6380	10.910486	192.168.11.55	192.168.11.66	HTTP	103	GET /index.html HTTP/1.1 
6381	10.910771	192.168.11.66	192.168.11.55	TCP	60	80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=0
6391	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
6392	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=537 Ack=50 Win=64191 Len=536
6393	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [PSH, ACK] Seq=1073 Ack=50 Win=64191 Len=536
6394	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=1609 Ack=50 Win=64191 Len=536
6395	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=2145 Ack=50 Win=64191 Len=536
6396	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [PSH, ACK] Seq=2681 Ack=50 Win=64191 Len=536
6397	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=3217 Ack=50 Win=64191 Len=536
6398	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=3753 Ack=50 Win=64191 Len=536
6399	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [PSH, ACK] Seq=4289 Ack=50 Win=64191 Len=536
6400	10.912515	192.168.11.66	192.168.11.55	TCP	590	80 → 65432 [ACK] Seq=4825 Ack=50 Win=64191 Len=536
6712	11.122158	192.168.11.66	192.168.11.55	TCP	590	[TCP Retransmission] 80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
7272	11.562079	192.168.11.66	192.168.11.55	TCP	590	[TCP Retransmission] 80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
7739	12.426157	192.168.11.66	192.168.11.55	TCP	590	[TCP Retransmission] 80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
9856	14.122178	192.168.11.66	192.168.11.55	TCP	590	[TCP Retransmission] 80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
10896	16.015969	192.168.11.55	192.168.11.66	TCP	54	65432 → 80 [ACK] Seq=4294966346 Ack=537 Win=8192 Len=0
10897	16.016306	192.168.11.66	192.168.11.55	TCP	60	[TCP Dup ACK 6381#1] 80 → 65432 [ACK] Seq=5361 Ack=50 Win=64191 Len=0
11901	17.486286	192.168.11.66	192.168.11.55	TCP	590	[TCP Spurious Retransmission] 80 → 65432 [ACK] Seq=1 Ack=50 Win=64191 Len=536
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [x] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [x] その他

##### 上記の詳細・結果
ChatGPTに言われて0xFFFFFFFFでマスクしてみましたが結果は同じです。

### 補足
環境：windows

scapyのrawでの送信がうまくいかない

### 前提・実現したいこと
NICを4枚実装しているサーバマシンを対象に、常時パケットキャプチャするやり方を考えています。
条件は 
・NICカードの複数指定が可能で１ファイルに出力する
・キャプチャファイルは200MB毎にローテートと圧縮を同時に行う
となっています。

### 発生している問題
tcpdumpとtsharkを両方試してみたのですが、
tcpdump・・・zオプションでコマンド起動できるため、gzip圧縮はできるが、NICの複数指定ができない
tshark・・・iオプションでNICを複数指定できるが、ローテート時にコマンド起動できないため、gzip圧縮できない
となっていて、頭を抱えています。

複数NICのキャプチャを１ファイルに出力して、ローテート時にコマンド実行（gzip圧縮）する、良い方法がございませんでしょうか？

ご教示のほど、よろしくお願いいたします。

### 試したこと
tcpdumpを複数起動して、同一ファイルに出力させてみたところ、ファイルが壊れました。

### 補足情報（FW/ツールのバージョンなど
使用OS：CentOS7.4
tcpdump：4.9.0
tshark：1.10.14

複数NICを実装しているサーバの常時パケットキャプチャについて

### 前提

ある事務所で、時間により極端にネットワークが遅くなる事があります。
簡単な下記の状態で、ネットワーク遅延が発生時、
AやBテーブルのHUBは、平均下り上りとも150Mbps正常にネットワーク速度が出ますが、CとDテーブルだけがある特定の時間になると10MBbps程度しか出なくなります。

（例）
ONUールーターから集約SWで各島のテーブルにLANケーブルをひいいています。
集約SW各ポートPort1　－　AテーブルHUB　※座っている人：4人
集約SW各ポートPort2　－　BテーブルHUB　※座っている人：2人
集約SW各ポートPort3　－　CテーブルHUB　※座っている人：6人
集約SW各ポートPort4　－　DテーブルHUB　※座っている人：7人

確かにCとDテーブルに座っている人が少し多いのでボトルネックになり、
一斉にインターネットへアクセスすると速度が遅くなるとは考えれます。
各テーブルHUBについては、最近入れ替えた新しいGiga HUBです。
またLANケーブルも一掃し、Cate6を使用しています。
また集約SWの各ポートが故障しデグっているというのは考えにくいですがSWの状態は気になるところです。

### 実現したいこと

CとDのテーブルはなぜ特定の時間にネットワークが遅くなるのか原因を突き止めたいです。


### 発生している問題・エラーメッセージ

発生している問題は現在のところ不明であり、エラーメッセージは拾えていません。


### 教えていただきたいこと

こちらを調査したいと思い、Wiresharkを使って調査したいのですが
何が原因で突き止めてれば良いのか現段階では何をキーにして確認するのか判断がつきません。
何かある特定の人が無駄なパケットを使っているのか、基本となりますが
物理的には問題は無さそうなのでパケット分析をしたいです。

お手数をお掛けしますが、Wiresharkの基本になりますが
フィルターをこうかければ切り分けができる。など使い方及び、考えられる原因を
ご教授下さい。　よろしくお願いいたします。