У меня есть журнал Wireshark с компьютера, на котором работали Ubuntu и tshark. На компьютере есть две сетевые карты, и я подключил их к мосту (используя /etc/network/interfaces) и дал этому мосту статический адрес. Затем я запустил tshark для записи трафика в режиме promisc на всех интерфейсах (на специальном "all device", которое должно быть eth0, eth1 и br0 для моста).
Сейчас я изучаю журналы и вижу, что почти половина (или чуть больше или меньше) трафика классифицируется как повторная передача TCP или дублированные ACK. У нас были серьезные проблемы с сетью, но не всегда.
Когда я смотрю на повторно переданные пакеты, они часто отправляются сразу после отправки "оригинального" пакета (в миллисекундах или менее). Я думаю, что это намного меньше, чем задержка повторной передачи в сети.
Я выдвинул гипотезу, которую хочу подтвердить. Поскольку компьютер имеет два сетевых адаптера, соединенных вместе, и выполняет запись в режиме «промиски», он обрабатывает все пакеты, и каждый пакет регистрируется один раз, когда он принимается на eth0, и регистрируется во второй раз, когда он передается далее по eth1. Эта миллисекундная задержка может быть для обработки или чего-либо еще на машине.
Подозрительные пакеты совпадают, за исключением номера кадра Ethernet.
Что вы думаете о моей гипотезе? Как я могу доказать / опровергнуть это?