通过tcpdump分析服务器初始的接收窗口大小

参加了2011系统架构师大会在 “TCP协议优化在互联网行业的应用” 听到刘泓昊对TCP的优化很受启发。
之前我测试过他们的设备感觉非常不错附上测试结果http://www.apparitor.info/2011/05/23/fastkernel-%E8%AE%BE%E5%A4%87%E6%B5%8B%E8%AF%95/
决定测试一下我们服务器的初始的接收窗口大小。
再次感谢刘泓昊的帮助。

分析服务器初始的接收窗口大小测试方法：
1、开一个终端监听eth0网卡的到 www.apparitor.info台机器的数据包

# tcpdump -i eth0 host www.apparitor.info

2、开另一个终端访问www.apparitor.info

# curl www.apparitor.info

结果如下：
# tcpdump -i eth0 host www.apparitor.info
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:54:42.263010 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [S], seq 2213172551, win 14600, options [mss 1460,sackOK,TS val 4453870 ecr 0,nop,wscale 7], length 0
11:54:42.463961 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [S.], seq 2722777507, ack 2213172552, win 5792, options [mss 1448,sackOK,TS val 2627574701 ecr 4453870,nop,wscale 7], length 0
11:54:42.464003 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [.], ack 1, win 115, options [nop,nop,TS val 4453890 ecr 2627574701], length 0
11:54:42.464134 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [P.], seq 1:160, ack 1, win 115, options [nop,nop,TS val 4453890 ecr 2627574701], length 159
11:54:42.666324 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [.], ack 160, win 54, options [nop,nop,TS val 2627574902 ecr 4453890], length 0
11:54:43.018091 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [P.], seq 1:488, ack 160, win 54, options [nop,nop,TS val 2627575254 ecr 4453890], length 487
11:54:43.018123 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [.], ack 488, win 123, options [nop,nop,TS val 4453945 ecr 2627575254], length 0
11:54:43.018140 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [P.], seq 488:513, ack 160, win 54, options [nop,nop,TS val 2627575254 ecr 4453890], length 25
11:54:43.018149 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [.], ack 513, win 123, options [nop,nop,TS val 4453945 ecr 2627575254], length 0
11:54:43.219883 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [.], seq 513:1949, ack 160, win 54, options [nop,nop,TS val 2627575455 ecr 4453945], length 1436
11:54:43.219915 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [.], ack 1949, win 146, options [nop,nop,TS val 4453965 ecr 2627575455], length 0
11:54:43.220128 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [.], seq 1949:3385, ack 160, win 54, options [nop,nop,TS val 2627575455 ecr 4453945], length 1436
11:54:43.220135 IP gaojianwei-Ubuntu.local.57285 > 74-82-170-103.take2hosting.com.www: Flags [.], ack 3385, win 168, options [nop,nop,TS val 4453965 ecr 2627575455], length 0
11:54:43.220374 IP 74-82-170-103.take2hosting.com.www > gaojianwei-Ubuntu.local.57285: Flags [.], seq 3385:4821, ack 160, win 54, options [nop,nop,TS val 2627575455 ecr 4453945], length 1436
……

分析：

1、从 Flags [P.], seq 1:* 开始 开头的时间43.018091 往下找跟他时间相近时间点，这个表示服务器一次开的窗口大小。（红色字体）

2、由上边分析发现有2个包是从服务器返回来的，说明他的窗口大小是2。

重点：

要找一个和目的IP延时比较大的点来抓包测试比较好，延时越大时间区域越明显，不要有丢包。