Es posible que el tráfico capturado por Wireshark sea sobrepasado, evitando que se capture el total de paquetes. Este problema puede tener 2 orígenes:

  • La PC desde la que se captura.

  • El switch al que se conecta la PC.


Detectar cuando la PC pierde paquetes

En ocaciones el tráfico capturado por la PC (donde está instalado Wireshark) sobrepasa las capacidades del Motor de Captura (Npcap/Libpcap), y esto ocaciona que algunos paquetes no sean capturados por el software. Las consecuencias son obvias, no se contaría con la información completa para hacer el análisis.

Esto ocurre, normalmente, cuando se captura el tráfico de varios nodos de la red.

  • Problema: Dropped: x

  • Solución: Aplicar filtros de captura (próxima clase)


Detectar cuando el switch pierde paquetes

Cuando aplicamos la funcionalidad SPAN de un switch, para capturar el tráfico de varios nodos, es posible que el puerto destino (el que se conecta a la PC con Wireshark) no pueda transmitir todos los paquetes (queda sobrepasado). Al igual que en el caso anterior, las consecuencias son obvias, no se contaría con la información completa para hacer el análisis.

En este escenario, es necesario instalar hardaware que ayude al switch a mantener el ritmo de la captura.

  • Problema: ACKed: Lost Segment and Previous Segment Not Captured

  • Solución: Instalar un Full Duplex Tap o TAP Inteligente


Información adicional sobre Network Tap

Te recomendamos los siguientes enlaces para conocer qué es un Network Tap.