WireShark 抓包遇到的奇怪问题

2016-05-05 16:46:30 +08:00

hxndg

这两天分析数据网络，分析的是局域网内的北邮人论坛，通过 ifconfig 可以发现 mtu 最大传输单元是 1500 字节，但是在进行 wireshark 抓包的时候遇到了奇怪的现象，请看，这里包的长度是大于 mtu 的阿，而且 ip 的 don't fragiment 标志位也设置成了 1 了阿，为什么会这个样子？此外，所谓的应用层分包， tcp 分包， ip 分包分别对应的是什么

3196 次点击

所在节点

问与答

9 条回复

tftk

2016-05-05 17:11:23 +08:00

这个图完全看不清楚

hxndg

2016-05-05 17:13:15 +08:00

啊啊啊啊，首先表示感谢，我又简单搜索了一下，发现很有可能是 tso 或者说 lso 导致的

badcode

2016-05-05 17:59:56 +08:00

@tftk chrome 右键>在新标签页中打开图片

tftk

2016-05-05 18:26:32 +08:00

@badcode 多谢
@hxndg 你这个包明明已经被重组了呀

hxndg

2016-05-05 21:49:58 +08:00

@tftk 并没有哈，这个包是没有拆成两个 ip 包的，这个包本身大于了 1500 ，它是下面另一个 http 包的失序哈

hxndg

2016-05-05 21:52:18 +08:00

@hxndg 只不过他是 seq 的多个合起来的哈

hxndg

2016-05-05 21:52:52 +08:00

@tftk 检查 ip 包 don't fragiment 发现并没有分包哈

pfipdaniel

2016-05-05 22:10:32 +08:00

这是网卡芯片本身的加速功能（需要驱动支持）， linux 系统一般会默认启用 gso 、 tso 这些特性，所以 wireshark 看到数据包的时候已经是被拼接过的大包了

hxndg

2016-05-05 23:03:58 +08:00

@pfipdaniel 谢谢哈，发现书本和实际还是有不少区别的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/276559

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.