V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hxndg
V2EX  ›  问与答

WireShark 抓包遇到的奇怪问题

  •  
  •   hxndg · 2016-05-05 16:46:30 +08:00 · 3195 次点击
    这是一个创建于 3122 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这两天分析数据网络,分析的是局域网内的北邮人论坛,通过 ifconfig 可以发现 mtu 最大传输单元是 1500 字节,但是在进行 wireshark 抓包的时候遇到了奇怪的现象, 奇怪的分包 请看,这里包的长度是大于 mtu 的阿,而且 ip 的 don't fragiment 标志位也设置成了 1 了阿,为什么会这个样子? 此外,所谓的应用层分包, tcp 分包, ip 分包分别对应的是什么

    9 条回复    2016-05-05 23:03:58 +08:00
    tftk
        1
    tftk  
       2016-05-05 17:11:23 +08:00   ❤️ 1
    这个图完全看不清楚
    hxndg
        2
    hxndg  
    OP
       2016-05-05 17:13:15 +08:00
    啊啊啊啊,首先表示感谢,我又简单搜索了一下,发现很有可能是 tso 或者说 lso 导致的
    badcode
        3
    badcode  
       2016-05-05 17:59:56 +08:00
    @tftk chrome 右键>在新标签页中打开图片
    tftk
        4
    tftk  
       2016-05-05 18:26:32 +08:00
    @badcode 多谢
    @hxndg 你这个包明明已经被重组了呀
    hxndg
        5
    hxndg  
    OP
       2016-05-05 21:49:58 +08:00
    @tftk 并没有哈,这个包是没有拆成两个 ip 包的,这个包本身大于了 1500 ,它是下面另一个 http 包的失序哈
    hxndg
        6
    hxndg  
    OP
       2016-05-05 21:52:18 +08:00
    @hxndg 只不过他是 seq 的多个合起来的哈
    hxndg
        7
    hxndg  
    OP
       2016-05-05 21:52:52 +08:00
    @tftk 检查 ip 包 don't fragiment 发现并没有分包哈
    pfipdaniel
        8
    pfipdaniel  
       2016-05-05 22:10:32 +08:00   ❤️ 1
    这是网卡芯片本身的加速功能(需要驱动支持), linux 系统一般会默认启用 gso 、 tso 这些特性,所以 wireshark 看到数据包的时候已经是被拼接过的大包了
    hxndg
        9
    hxndg  
    OP
       2016-05-05 23:03:58 +08:00
    @pfipdaniel 谢谢哈,发现书本和实际还是有不少区别的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1367 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:37 · PVG 01:37 · LAX 09:37 · JFK 12:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.