Wireshark捕捉到巨型帧的另一种处理方式

已于 2024-08-07 11:11:28 修改
阅读量660 收藏 11
点赞数 8
分类专栏: TrafficAnalysis 文章标签: wireshark 测试工具 网络
于 2024-08-07 11:06:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RakuLomis/article/details/140986179
版权

近期在使用Wireshark进行抓包的时候,发现了许多长度远大于MTU(1500字节)的包(帧),并且该类包只存在于rx(receive)流量,即外部网络到本地设备这个流向中。在朋友们的机器,以及另外一台台式机上进行测试,发现他们那都没有这种现象。这种极大长度、异常存在的包,会影响正常的流量分布,从而阻碍流量分析的进行,故亟须处理。

结论如下,主机的TCP/IP协议栈配置中,启用了RSC(Receive Segment Coalescing,接收段联合)选项。RSC选项允许网络适配器将多个TCP段联合成一个更大的段,从而减少每个段的处理开销,提高网络性能。这也就导致了接收到的包,通过网卡时被联合成了很大的包,从而造成了长度远大于1500字节的现象。

使用netsh命令查看TCP/IP配置:netsh int tcp show,并根据提示输入相应指令查看RSC配置。如下图所示,RSC目前在主机上时启用的。

TCP/IP协议栈设置

根据表格所显示的Idx,依次进行查看,找到抓包对应的网卡:netsh int tcp show rscstats <idx>。如图所示,RSC确实在工作并且联结了许多数据包。

WLAN网卡的RSC信息

使用指令将RSC选项关闭即可:netsh int tcp set global rsc=disabled

其他的情况

  1. 网卡进行TCP分片。主要针对有线网卡,无线网卡可能没有相关设置。Segment Offload
  2. 本地环路抓包过大。为了强化本地的通信速率,loopback地址的MTU往往是很大的。Loopback Captures
  3. 网卡分片技术总结。网卡TCP分片

鸣谢

感谢L. Yu,Y. Zhu在整个过程提供的帮助。

RakuLomis
关注
专栏目录
wireshark分析以太网结构_用Wireshark包分析格式
weixin_36089077的博客
02-05 8836
摘要:该文从Ethernet和wifi的格式着手进行了分析,并讨论了结构的各个字段的含义且对于该如何分析进行了举例,加深了读者对格式的理解,增强了wireshark的应用。关键词:wireshark;ethernet;wifi中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)28-6831-02Use Wireshark to Analyze a FrameBAI ...
Windows TCP参数调优
wangyequn1124的博客
12-24 1万+
最近研究TCP的性能优化,这里先总结下TCP的参数调优,主要参考下面网址并加上自己的一些理解和总结: 网址:https://www.speedguide.net/articles/windows-8-10-2012-server-tcpip-tweaks-5077 1.1 拥塞控制算法 Win10系统默认的是cubic拥塞控制算法,系统支持CTCP,DCTCP,CUBIC,NewReno四种拥塞...
巨型
围城
04-17 1167
2017/04/17 这个问题,其实严重影响到我分类的这个过程。 我着重从报文长度来设计。 而且,其实这部分的内容就是因为两个报文之间的间隔时间太短了。 反正就是,我不管是在什么环境下测试,都必须将这个问题注意到。 (那边的机器会不会受这个影响) 平时用Wireshark进行包的时候,会出现一些很长的包,明显高于我原本理解的那个MTU什么的。我以为只是TCP重组之后,弄出来的一个全新的报文。 ...
(jumbo frame)
热门推荐
网络知识精读
02-03 3万+
最近重新接触到巨(jumbo frame)这个概念,第一次接触是在视频传输中,本来以为定义是一个定值的,故没有太大留意,这次重新查看了下,其定义是一个范围值,而且该范围还与厂家设置有关,故需要注意一下。 首先为什么要启用巨,具体来源理解还不深,不过带来最大的好处还是效率提高(尤其在高速网络中,该效率体现比较大)。在网络中定义该效率就是真实发送payload的时间/发送完整数据包(包含头部)的
win8系统无线受限处理方法
liuliangsailor的专栏
04-23 651
win8系统无线受限 步骤一: 右键单击屏幕左下角选择“命令提示符(管理员)”打开。再此提醒,菜单里面有两个命令提示符,选择有管理员的那个。 步骤二: netsh int tcp set heuristics disabled 回车,得到“OK”或“确定”答复 netsh int tcp set global autotuninglevel=disabled 回车,得到“OK”或
虚拟靶场到巨
Askshhbs的博客
04-20 999
前言 在自己的虚拟化靶场中包,发现 wireshark 面板中的 Length 远大于 MTU,而明明在包网卡的MTU是1500,这是为什么呢? 将这个包的流量回放到 snort 的接收网卡上,发现 snort 并没有“接收”到这个包,这是为什么呢? 带着这两个为什么,开始接下来的探索吧! 餐前小菜 正餐开始前,必须先知道这些定义,如图1所示: 图1: 5个必知定义 1、Jumbo frames:巨型,也叫巨。指的是链路层上负载超过1500字节的以太网,一般来说巨最多..
实验01 使用网络协议分析仪Wireshark分析数据链路层结构.docx
07-11
Wireshark是一款功能强大的网络协议分析仪,可以帮助我们捕捉和分析网络上的数据包。 二、Wireshark的基本功能 Wireshark提供了许多基本功能,例如捕捉网络协议、分析协议包、查看结构等。我们可以使用Wireshark...
wireshark配置wpa口令解密数据1
08-08
WPA-PWD是WPA的一种简化认证方式,适用于小型家庭或办公室网络,它基于预共享密钥(PSK)进行身份验证。在这个过程中,用户输入一个密码(通常为8到63个字符),服务器会与用户提供的密码进行匹配以完成连接。 要...
wireshark分析以太网结构_wireshark分析(传输层,网络层,链路层)
weixin_39600400的博客
12-23 4255
wireshark包软件总是友善地帮包分层...1.链路层。Ethernet II协议即以太网协议。以太网的格式如下:这里的地址指的是MAC地址,每一个网卡对应唯一的MAC。 类型指的是IP、ARP...... 。CRC效验数据是否异常。在wireshark 中,数据包的第二行指的是链路层协议。在Ethernet II中,SRC表示的是源地址。DST代表目的地址。Type(类型)为0x...
Wireshark从入门到精通视频.zip
05-24
0.1 Wireshark协议分析从入门到精通课程介绍.mp4 1.1.1 Wireshark安装入门之软件介绍.mp4 1.1.2 Wireshark安装入门之包原理.mp4 1.1.3 WireShark安装入门之初始安装.mp4 1.1.4 WireShark安装入门之快速包.mp4 ...
WIRESHARK基础教程以太的分析。
aLLLiyyy的博客
10-07 1万+
首先应该明白,封装以太的位于OSI七层模型的第二层,也就是数据链路层,wireshark可以把完整的以太起来,我们可以清楚的看到。打开wireshark找到自己ip对应的网卡,点开,随便点一个协议,这里以UDP协议为例子,截图如下 上面用红笔写的1,2,3,4分别对应 1:以太总信息,2:以太头部,3:IP 数据包,4:UDP数据包。他们是有联系的,且看我在下面解释。 第一个解释,Fra...
网络数据中的(Jumbo Frame)巨、超长
里晓山的博客
08-12 1万+
需要在相互通讯的2个通讯端口(交换机端口或网卡端口)上同时支持,交换机把Jumbo Frame格式的数据转发向不兼容Jumbo Frame的端口时应进行格式的转换,即把Jumbo Frame格式的数据转换成标准以太网的格式,从而保证其正常工作。当传送相同长度的数据报文信息时,如果使用多个普通以太传输时会有很多间隙和前导码等冗余信息,而使用超大传输时,数量较少,这样就减少了无用间隙及前导码的传送,提高了带宽的利用率。用户可根据接口实际需要处理的报文长度,调整接口允许通过的超大长度。...
WiresharkWireshark网络分析(林沛满书学习总结)
最新发布
qq_37387849的博客
10-07 1016
重启后无法通信,注意路由表#注意观察IP,有时候拒绝访问是请求经过NAT,source IP被改掉了#重传率高:可能乱序#是否有防火墙拦截#如果使用UDP传输,数据包分片传输后,若远距离传输丢包,则全部重传,大大降低效率。UDP适合DNS查询和语音通话等。#注意MTU大小对应:可能会导致一直重传一直丢包,传输像掉进了黑洞。
win10巨数据包在哪里设置_Win10电脑总感觉网速慢,是什么原因
weixin_39963465的博客
11-18 4241
新电脑系统或者是自己安装的系统,现在大多数都是在使用win10了,可能很多朋友还不知道,其实Win10系统是会默认限制20%的网速的,这也就导致了我们上网的速度不能达到100%。然而总会感觉网速慢点。那么,Win10系统如何来解除限制网速呢Win10系统解除网速限制的方法:首先我们需要回到系统桌面,然后通过组合快捷键【win+R】打开运行窗口。在运行窗口中输入“gpedit.msc”命令...
wireshark关闭校验和报错及处理超长报文
wangcfbj的博客
11-09 2568
工作需要今天要用wireshark包分析,老革命碰到了两个新问题,现将问题及解决方案记录如下: 1)报文超长 从网页提交到服务器的报文在wireshark中没有解析出来,感觉比较奇怪,因为确实功能执行到了,仔细搜索报文内容中的关键字,发现有一个以太网报文长度达到了1.9K,而ip报文长度信息为0,导致wireshark解析出错; 分析了一下应该和网卡有关,查看网卡和路由都是是千兆的,在千兆
Wireshark网络分析就这么简单》读书笔记
PP_zi的博客
07-05 1141
以下所有内容来自于《Wireshark网络分析就这么简单》(林沛满 著) Wireshark网络分析就这么简单 网络分析 >> 为什么ping的是服务器A的IP,B却去查询默认网关的MAC地址? 因为B根据自己的子网掩码,计算出A属于不同子网,跨子网通信需要默认网关的转发。而要和默认网关通信,就需要获得其MAC地址。 >> 不同网段的服务器B为何直接回复了服务器A自己的MAC地址? 因为在执行ARP回复时并不考虑子网,即使ARP请求来自其他子网IP也照样回复。 >> .
【6】Wireshark网络分析就这么简单
一万HOURS的知识库
10-16 666
Wireshark网络分析就这么简单10.16 :【14】 1~13
win8本地网络tcp/ip协议配置优化设置
huofeige
01-09 1509
1 win+x->命令提示符(管理员) 2 netsh int tcp set heuristics disabled 3 netsh int tcp set global autotuninglevel=disabled 4 netsh int tcp set global rss=enabled 此方法使win8的tcp/ip协议获得更广泛的兼容型,解决受限问题。
Wireshark捕捉过滤语句深度解析
Wireshark中,有两种类型的过滤器:捕捉过滤器(Capture Filter)和显示过滤器(Display Filter)。本手册主要关注捕捉过滤器,它用于在捕获数据包时就过滤出我们感兴趣的数据,减少无用数据的存储,提高分析效率...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值