文章总结： 本文通过WiresharkGraphs分析TCPPreviousSegmentLost案例，发现远程用户通过MPLS专线访问Web系统时因MTU限制导致数据包丢失。服务器到客户端方向存在序列号空洞，最大传输段仅约600字节，低于MSS1260，推断专线PMTU问题阻碍了正常数据传输。正常连接图示对比显示连续传输且可达MSS大小。建议检查并调整专线MTU配置以解决此类网络性能问题。 综合评分： 78 文章分类： 网络安全,渗透测试,安全工具,解决方案,其他

Wireshark Graphs | TCP Previous Segment Lost

原创

7ACE 7ACE

Echo Reply

2026年2月16日 10:11 江苏

一图胜千言

前言

A picture is worth a thousand words，一图胜千言。基于 Wireshark TroubleShooting 系列中的案例，计划以 Graphs 的方式重新解读下，看看从中能学习到什么不一样的知识。

说明

本篇原文《Wireshark TS | TCP Previous Segment Lost》，数据包文件可见链接: https://pan.baidu.com/s/10wJFGd3UrIqLf1u4W431bA 提取码: j4g2。

这是 Wireshark TroubleShooting 系列中的第 10 个案例，同样说的是运营商专线 MTU 的网络故障，图示分析与上一个案例大差不差，姑且研究一下。

分析

问题回顾：远程用户通过 ISP MPLS 专线连接至远程分支机构，通过浏览器尝试访问位于远程分支机构的某系统管理页面，但未能成功，而本地用户访问则正常。检查网络层基本连接正常，从远程用户 PC 到系统服务器 Ping 成功，且 Telnet 80 端口也正常，但是 Web 浏览时请求图形数据时不起作用。

我合并了连接不正常与正常时的两条数据流到一个文件中，主要数据包视图如下：

针对不正常连接的 TCP Stream 1 ，打开 Sequence Numbers(tcptrace) 图，如下服务器端->客户端方向，可见有不连续的数据段，也就是存在着序列号空洞。

继续放大图示，丢失分段大小分别如下，结合 TCP 三次握手中的 MSS 1260 ，丢失 MSS 大小的分段个数分别为 2、3 个…，同时结合之后没有重传的数据包，合理推断是由于专线 MTU 问题，造成服务器端至客户端传输方向受限，无法传输高于 PMTU 大小的数据包。

当然从 Throughput 图表也可以看到，在服务器端->客户端方向，所能看到的最大数据段的长度也就是在 600 字节，没有 MSS 大小 1260 字节的数据段。

而正常连接的图示如下，对比以上问题图，可以看到存在一定区别，连续传输且所能传输的最大数据段的长度为 1260 字节。

往期推荐

1. Wireshark 提示和技巧 | 捕获点之 TCP 三次握手

2. Wireshark 提示和技巧 | a == ${a} 显示过滤宏

3. Wireshark TS | 当超时或快速重传遇到零窗口

4. Wireshark TS | 防火墙空闲会话超时问题

5. 网络设备 MTU MSS Jumboframe 全解

后台回复「TT」获取 Wireshark 提示和技巧系列 合集

后台回复「TS」获取 Wireshark Troubleshooting系列 合集

如需交流，可后台直接留言，我会在第一时间回复，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Echo Reply 7ACE 7ACE《Wireshark Graphs | TCP Previous Segment Lost》