PSGUI-WinのSortとWiresharkのソート機能の違いについて
返答 (1)
RE: PSGUI-WinのSortとWiresharkのソート機能の違いについて - komoriya が約6年前に追加
sortがonでもoffでも、PCAPの内容に含まれるpacketの情報としては同じものが含まれます。
しかし、その取り出したPCAPを閲覧するツールによっては、異なる解釈がなされます。
たとえば、手元の環境で、同じ通信をsortがonとoffの両方の方法で取り出して、それをwiresharkで閲覧した例は、次のようになります。
- sort=onの場合
- sort=offの場合
sort=offの画面では、PCAPをwiresharkで開いた後、Timeのカラムでsortした状態となっています。
この状態で比較しますと、上から順に並んでいるpacketの表示上の順番はすべて同一となっていますが、PCAPとして保存されているpacketの順番が異なりますので、
sort=offの5番目と6番目で、symptomとして、「TCP Spurious Retransmission」と「TCP ACKed unseen segment」が表示されています。
実際に通信されていたのはsort=onの状態なので、通信には問題はないのですが、PCAPに保存されている順番として5番目と6番目が逆になってしまっている例となりますので、
このようにwiresharkが解釈しています。
このように取り出した状態のファイル(ここでは、sort-off-1.pcap)を、表示としてでなく、保存状態としてsortする場合、たとえば、wiresharkの配布物に含まれるreordercapを使うことができます。
PSGUI-Winは、このreordercapを裏で自動的に呼び出して利用するように実装されています。
sortされたPCAPを得る方法は、たとえば2つあると言えます。
- PSGUI-Winでsort optionをonにしてPCAPを入手する場合
- PCAPのsort optionをonにする
- PSGUI-WinでPCAPを保存する(裏でPSGUI-Winが自動的にreordercapを実行 する )
- PCAPを利用する
- PSGUI-Winでsort optionをoffにしてPCAPを入手する場合
- PCAPのsort optionをoffにする
- PSGUI-WinでPCAPを保存する(裏でPSGUI-Winが自動的にreordercapを実行 しない )
- reordercapを自分で実行する
- PCAPを利用する
sort=offの場合、手動でreordercapを実施する必要があります。
しかし、実行している内容はどちらも同じですので、必要な機器の処理時間は、どちらの方法で実施しても同じです。
利用の状況に応じて、この機能をご利用いただくことがよいと思います。