如何解决wireshark抓包大于mtu的问题

最新推荐文章于 2024-05-30 17:18:50 发布
最新推荐文章于 2024-05-30 17:18:50 发布
阅读量1w 收藏 11
点赞数 5
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mgxcool/article/details/73028534
版权

在测试的时候,发现有些时候用wireshark抓到的包中含有很多大于mtu的数据包。于是试了一下,在本机抓包和在通信的对端同时抓包,发现本机上抓到了大于mtu的包,但是对端却没有这种包。可以推断出数据包在最后发出去的时候,还是进行了切分。

从这个现象大概也可以猜测出wireshark抓包的机制,大概是在什么地方抓取的包。

于是想了想网卡上有没有什么参数可以配置来解决这个问题,最后发现一个参数“大量发送卸载”,顺手百度了一下,大概意思就是开启之后由网卡来执行对大块数据的切分操作,这样可以降低操作系统的压力。把这个功能禁用之后,果然抓到的包中就没有大于mtu的数据报文了。

于是可以猜想,系统在通过网卡发送数据的时候,是往一个缓冲区中放入数据,当开启网卡的“大量发送卸载”功能时,系统就不会计算每个data段的长度,只管往缓冲区写入数据,最后分包的操作由网卡来完成。当关闭这个参数的时候,系统写入缓冲区的数据是根据mtu计算好的。 由此也可以猜测出wireshark抓的就是这个缓冲区中的内容。 不过这一些都是我根据现象进行的一些猜测,没有深入进行验证。

server 2008下如何修改该参数:

网卡属性->高级->“大量发送卸载” 禁用

mgxcool
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark抓包大于1500字节和提示checksum offload的原因
weixin_33807284的博客
01-16 1558
问题wireshark抓包大于1500字节(如下图所示) wireshark抓包提示:[incorrect, should be xxxx (maybe caused by "TCP checksum offload"?)] 原因:wireshark是在数据包经过cpu,送到网卡处理之前抓取的。现在操作系统上的网卡大多有一个功能,帮助cpu减轻负担,网卡承担了将segment分段和对数据...
TCP 的那些事 | MTU
u014023993的专栏
12-16 2577
网络通信中,经常会遇到一个概念MTU,全称是Maximum Transmission Unit(最大传输单元)。那么什么是MTUMTU的作用是什么,本文从最基本的概念出发,一步步讲起。 MTU是最大传输单元,针对的对象是以太网帧中的数据。MTU的确切意思就是以太网帧中数据的最大长度,注意,是以太帧中有效载荷的最大长度,不包括以太帧帧首尾部的长度。 以太网帧数据格式如下: 以太网帧数据格式...
[Linux] Wireshark 抓到超过大于MTU 的封包
wangwuyy
11-30 4046
在 Linux Wireshark 有時候會抓到比 MTU Size 更大的封包, ex: 2336, 5160 .. etc.這個問題源自於 Linux NIC driver enable GRO (Generic Receive Offload), 這功能會將數個封包組合成一個大封包以增加速度。這時可以用 ethtool 去修改網路卡的參數使用 ethtool -k 查看狀況。 $ eth
Wireshark抓包后的报文太大,如何拆分?
最新发布
agang1986的博客
05-30 571
*背景:**抓包获取到一个400多兆的网络数据包.pcapng文件,使用wireshark软件可以正常打开。使用wireshark自带的导出功能导出后发现生成的.json文件大小为2G多,使用notepad++根本打不开。就想着先把网络数据包文件.pcapng拆分成小的数据包后再导出为多个.json文件。说明:其中参数-c指定拆分成的文件的大小,单位是KB,如上面是10000KB,即大约10M大小的文件。命令执行后原始文件会被查封成多个文件,文件按序号命名。
Wireshark 分析用户数据报UDP
热门推荐
dengjili的专栏
09-12 1万+
使用wireshark这款软件来分析UDP包,UDP报文为了方便读者复现,直接使用官网提供的包文件说明 准备UDP分析报文 从wireshark官网下载UDP分析包:tpncp_udp.pcap,使用wireshark打开tpncp_udp.pcap,这里我们选择第4个UDP报文,数据长度len=12,选择一个尽可能小一点的数据包,后面计算校验和字段减少些运算 分析UDP报文 点击/双击第4个UDP报文,可以看到运输层的协议使用UDP协议,UDP数据大小为12,IP网际层也需要使用到,运输层在首部字段校验
Wireshark抓包和分析,看这篇就够了!
伤心的辣条
08-18 1万+
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
【博客630】MTU网络问题排查及解决思路
qq_43684922的博客
03-11 4255
网络层发送数据包是有最大长度的,网络层从传输层接收到要发送的数据包时,它要判断向本地哪个接口发送数据,并查询该接口获得其最大传输单元MTU(MaximumTransmissionUnit),网络层把MTU值与要发送的IP数据包长度进行比较,如果IP数据包的长度比MTU值大,那么IP数据包就需要进行分片,分片后的数据包长度小于等于MTU(包括IP层头部,大小单位:byte)
MTU抓包详细分析举例说明
01-05
通过抓包工具如Ethereal(Wireshark的前身)可以深入分析网络流量,找出可能的性能瓶颈或问题。在实际网络环境中,如果需要避免分片,可以通过调整发送端的MTU值,使其适应目标网络的最小MTU限制,通常称为路径MTU...
IP协议抓包分析wireshark源文件,包括切片
05-27
当一个大型数据包需要通过网络传输,但目标网络的MTU(最大传输单元)限制了单个数据包的大小时,IP协议会将大包分割为多个小块,这个过程称为IP分片。 IP分片主要涉及到以下几个关键概念: 1. **标识符...
计算机网络抓包实验.docx
03-24
计算机网络抓包实验是深入理解TCP/IP协议栈工作原理的重要实践环节。在这个实验中,我们将主要关注四个关键的网络通信过程:ICMP消息、IP包头分析、ARP消息以及DHCP消息。 首先,我们利用Wireshark软件捕获ICMP...
sniffer抓包分析以太网帧
07-04
在使用Sniffer进行抓包分析时,需要注意以下几点: 1. 观察帧的总大小,包括填充位。 2. 分析IP头部,了解数据长度和头部长度。 3. 注意ICMP头部及其数据部分。 4. 考虑以太网帧的最小和最大数据负载限制。 5. 检查...
实验二 .利用Wireshark分析IP协议.doc
04-28
实验内容包括启动Wireshark抓包工具,分析IP层数据,观察并记录相关字段值,如版本、首部长度、总长度、标识、标志位(DF和MF)、片偏移、生存时间、协议类型、首部校验和、源地址和目的地址等。此外,还要求设置...
wireshark TCP抓包大于mss
飞狐的专栏
06-26 2115
现象: 1、在电脑上使用wireshark抓包,发现其中部分包的数据长度很长超过mtu,这不符合tcp协议,tcp发送数据包的大小时客户端和服务端协商的,并且有最大长队限制。 2、换个电脑抓包,数据长度在正常范围。 想起前段时间测试网卡的时候,网卡有些地方可以配置。然后在电脑A网卡配置处找到一处" 大量发送卸载(IPv4)",发现开关这个选项,会完全影响wireshark抓到的tcp包...
wireshark抓包发现大于1500字节的包
欢迎访问方偲的博客
09-14 7385
问题&现象:嵌入式软件开发,抓包平台->设备,发现有很多数据包大于配置的MTU值1500 “MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据包的大小。 找了如下两篇文章解释两种大于1500字节的数据包的存在,1518字节以上的和1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark抓包,偶然发现发送的包居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
巨型帧
围城
04-17 1100
2017/04/17 这个问题,其实严重影响到我分类的这个过程。 我着重从报文长度来设计。 而且,其实这部分的内容就是因为两个报文之间的间隔时间太短了。 反正就是,我不管是在什么环境下测试,都必须将这个问题注意到。 (那边的机器会不会受这个影响) 平时用Wireshark进行抓包的时候,会出现一些很长的包,明显高于我原本理解的那个MTU什么的。我以为只是TCP重组之后,弄出来的一个全新的报文。 ...
虚拟靶场抓到巨帧包
Askshhbs的博客
04-20 966
前言 在自己的虚拟化靶场中抓包,发现 wireshark 面板中的 Length 远大于 MTU,而明明在抓包网卡MTU是1500,这是为什么呢? 将这个包的流量回放到 snort 的接收网卡上,发现 snort 并没有“接收”到这个包,这是为什么呢? 带着这两个为什么,开始接下来的探索吧! 餐前小菜 正餐开始前,必须先知道这些定义,如图1所示: 图1: 5个必知定义 1、Jumbo frames:巨型帧,也叫巨帧。指的是链路层上负载超过1500字节的以太网帧,一般来说巨帧最多..
tcpdump抓包长度大于1514的原因
jinauto的博客
10-28 1353
tcpdump抓包中:存在9k以上的包,可能开启了TSO,GRO,GSO;存在1514~9k的包可能开启了TSO,GRO,GSO或Jumbo Frames;通过通过ifconfig 看MTU或ethtool看TSO,GRO,GSO来判断。如果觉得系统受到长包影响,可以用ifconfig或ethtool关闭相应的功能。
为什么抓包时IP包会大于MTU
专注于网络编程,游戏后台,高并发
09-30 3103
在linux上抓包的时候,发现了很大的包,有的包达到了2800字节,在局域网的时候甚至有10K字节以上的包。这与我们所学的IP数据包不能超过MTU(一般是1500字节)相违背。查资料得知,这是因为网卡有设置tcp-segmentation-offload。这是操作系统为了减轻负担,提高处理效率的一种方法。   我们知道,用TCP/IP协议处理网络流量,要占用大量服务器资源。为了减轻服务器的压力...
IP、TCP、UDP数据包长度问题
aflyeaglenku的博客(QQ1010316426)
07-11 2654
今天使用wireshark抓包,查看了一下数据包长度统计的页面,发现TCP传输的包长度超过MTU(我所在的局域网是1500)。
Wireshark抓包软件使用详解
"Wireshark抓包软件使用教程.pptx" Wireshark是一款强大的网络封包分析软件,常用于网络故障排查、协议分析、安全检测等场景。本教程主要介绍了Wireshark的基本操作和各个功能模块。 1. **启动后的界面及功能** ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值