Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
hxndg
V2EX  ›  问与答

WireShark 抓包遇到的奇怪问题

  •   
  •   hxndg · May 5, 2016 · 3805 views
    This topic created in 3650 days ago, the information mentioned may be changed or developed.

    这两天分析数据网络,分析的是局域网内的北邮人论坛,通过 ifconfig 可以发现 mtu 最大传输单元是 1500 字节,但是在进行 wireshark 抓包的时候遇到了奇怪的现象, 奇怪的分包 请看,这里包的长度是大于 mtu 的阿,而且 ip 的 don't fragiment 标志位也设置成了 1 了阿,为什么会这个样子? 此外,所谓的应用层分包, tcp 分包, ip 分包分别对应的是什么

  • 分包
  • wireshark
  • MTU
  • 奇怪
    9 replies    2016-05-05 23:03:58 +08:00
    tftk
        1
    tftk  
       May 5, 2016   ❤️ 1
    这个图完全看不清楚
    hxndg
        2
    hxndg  
    OP
       May 5, 2016
    啊啊啊啊,首先表示感谢,我又简单搜索了一下,发现很有可能是 tso 或者说 lso 导致的
    badcode
        3
    badcode  
       May 5, 2016
    @tftk chrome 右键>在新标签页中打开图片
    tftk
        4
    tftk  
       May 5, 2016
    @badcode 多谢
    @hxndg 你这个包明明已经被重组了呀
    hxndg
        5
    hxndg  
    OP
       May 5, 2016
    @tftk 并没有哈,这个包是没有拆成两个 ip 包的,这个包本身大于了 1500 ,它是下面另一个 http 包的失序哈
    hxndg
        6
    hxndg  
    OP
       May 5, 2016
    @hxndg 只不过他是 seq 的多个合起来的哈
    hxndg
        7
    hxndg  
    OP
       May 5, 2016
    @tftk 检查 ip 包 don't fragiment 发现并没有分包哈
    pfipdaniel
        8
    pfipdaniel  
       May 5, 2016   ❤️ 1
    这是网卡芯片本身的加速功能(需要驱动支持), linux 系统一般会默认启用 gso 、 tso 这些特性,所以 wireshark 看到数据包的时候已经是被拼接过的大包了
    hxndg
        9
    hxndg  
    OP
       May 5, 2016
    @pfipdaniel 谢谢哈,发现书本和实际还是有不少区别的
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2337 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 15:44 · PVG 23:44 · LAX 08:44 · JFK 11:44
    ♥ Do have faith in what you're doing.