Eu tenho um log do Wireshark de um computador que estava executando o Ubuntu e o tshark. O computador tem duas NICs e eu as conectei a uma ponte (usando /etc/network/interfaces ) e dei a essa ponte um endereço estático. Então eu corri tshark para gravar o tráfego no promisc mode em todas as interfaces (no especial "all device", que deveria ser eth0, eth1 e br0 para a bridge).
Agora estou investigando os logs e vejo que quase metade (ou pouco mais ou menos) do tráfego é classificada como retransmissão TCP ou ACKs duplicados. Tivemos sérios problemas de rede, mas não o tempo todo.
Quando olho para os pacotes retransmitidos, eles geralmente são enviados logo após o envio do pacote "original" (em termos de milissegundos ou menos). Eu acho que isso é muito menos do que o atraso de retransmissão na rede.
Eu fiz uma hipótese que quero confirmar. Como o computador tem duas NICs conectadas juntas e registra em modo promisc, ele processa todos os pacotes e cada pacote é registrado uma vez quando é recebido na eth0 e é registrado na segunda vez quando é transmitido posteriormente pela eth1. Esse atraso de milissegundos pode ser para processamento ou o que quer que seja na máquina.
Os pacotes suspeitos são os mesmos, exceto o número do quadro Ethernet.
O que você acha da minha hipótese? Como posso provar / refutar isso?
Tags networking wireshark