为什么tcpdump抓包数据校验和异常、长度超过MTU?

最新推荐文章于 2023-10-28 22:01:26 发布
置顶 最新推荐文章于 2023-10-28 22:01:26 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: 网络子系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rikeyone/article/details/108619566
版权

内核实现

tcpdump在抓取网络包时,实际它会创建一个socket,并且设置网卡为混杂模式,用于接收网络链路上所有地址的包。
发送方向:

dev_queue_xmit->dev_queue_xmit_nit:
static void dev_queue_xmit_nit(struct sk_buff *skb, struct net_device *dev)                                                                                                                                                             
{
......
	//检测到有sniffer抓包的钩子就会执行发送报文的抓包
	struct list_head *ptype_list = &ptype_all;
    list_for_each_entry_rcu(ptype, ptype_list, list) {
 
        if (pt_prev) {
            deliver_skb(skb2, pt_prev, skb->dev);
            pt_prev = ptype;
            continue;
        }
......                     
    	}
    }

接收方向:

netif_receive_skb-->__netif_receive_skb_core:

static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc)
{
......
//在这里处理sniffer相关的skb接收处理,也就是tcpdump抓包的位置
list_for_each_entry_rcu(ptype, &ptype_all, list) {
        if (pt_prev)
            ret = deliver_skb(skb, pt_prev, orig_dev);
        pt_prev = ptype;
    }
......
 }

抓包数据异常原因

从上面介绍的内核实现来看,tcpdump抓取的数据分别是驱动接收处理的最后,以及驱动发送处理的开始。因此tcpdump抓取的数据可能不是最终在物理链路上发出去的和接收到的包。
使用tcpdump的抓取的包,然后利用wireshark进行分析那么可能会发现一些报错,主要会有两种异常现象:
MTU

  • 包长度超过MTU
  • 包的checksum不正确

主要原因在于:
1.硬件支持TSO、GRO特性
2.硬件支持checksum offload特性

在支持TSO和checksum offload的网卡上,skb数据在进入驱动层之前是不进行分片处理和完整的checksum计算的,而tcpdump抓取的包恰恰是在此处,而这并不代表实际链路上的包会发生错误。

程序猿Ricky的日常干货
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
udp超过mtu长度 linux,TCP UDP 数据长度(MSS)总结
weixin_34108829的博客
05-16 2086
MTU: Maxitum Transmission Unit 最大传输单元MSS: Maxitum Segment Size 最大分段大小以太网(Ethernet)数据帧的长度必须在 64Bytes-1518Bytes 字节之间,这是由于以太网传输电气方面限制的,EthernetII 协议报头结构如下:| 目的地址(DMAC) | 源地址(SMAC) | 类型(TYPE) | 数据(DATA) ...
Linux基础学习之利用tcpdump抓包实例代码
09-15
9. **限制抓包数量**:`-c`参数用于限制抓取的封包数量,如`tcpdump -c 1000`只捕获前1000个封包。 10. **其他高级选项**:`-t`不显示间戳,`-s`设置抓取的数据长度,默认68字节,`-S 0`可以抓取完整包,`-vvv`...
UDP主要丢包原因及具体问题分析
热门推荐
$firecat利白的代码足迹$
08-28 5万+
文章来源:http://www.2cto.com/net/201311/254835.html UDP主要丢包原因及具体问题分析 一、主要丢包原因 1、接收端处理间过长导致丢包:调用recv方法接收端收到数据后,处理数据花了一些间,处理完后再次调用recv方法,在这二次调用间隔里,发过来的包可能丢失。对于这种情况可以修改接收端,将包接收后存入一个缓冲区,然后迅速返回继续......
为什么抓包IP包会大于MTU
专注于网络编程,游戏后台,高并发
09-30 3101
在linux上抓包候,发现了很大的包,有的包达到了2800字节,在局域网的候甚至有10K字节以上的包。这与我们所学的IP数据包不能超过MTU(一般是1500字节)相违背。查资料得知,这是因为网卡有设置tcp-segmentation-offload。这是操作系统为了减轻负担,提高处理效率的一种方法。   我们知道,用TCP/IP协议处理网络流量,要占用大量服务器资源。为了减轻服务器的压力...
tcpdump抓包
weixin_41989934的博客
01-06 707
tcpdump 是Linux下一种网络抓包命令, 通常用tcpdump抓取包,然后把数据包放到wireshark 工具分析数据包。
tcpdump的使用,及tcpdump抓不到自己服务器的包(帧)——记录篇
dxgzg的博客
10-07 4323
linux系统有很多块网卡,可以用ifcongig -a打出来,你自己写的服务器一定要监听lo这块网卡,不要监听别的网卡,监听有回环地址的网卡 真是直观的感受到了TCP三次握手和四次挥手,尽管我还有些东西没有看懂 ...
为什么IP层要分片而TCP层要分段? 这些和MTU/MSS又有什么关系?------tcpdump抓包实战搞起!
认知 行动 坚持
07-02 1万+
在前面的文章中, 我们已经了解到, 数据链路层对上层IP包的长度是有限制的, 以典型的以太网为例, 这个限制值即为MTU(最大值是1500字节), 为此, IP层对上层网络层的数据也有限制, 这个限制值是MSS(最大值为1460字节), 至于为什么是这两个值, 我们在前面的文章已经解释过了, 故不再赘述。 我们设想一下, 如果应用层需要用UDP发送2000字节的数据, 那么加上
linux tcp检验和不正确的是,解决抓到的报文校验和错误问题
weixin_29483277的博客
05-15 2236
解决抓到的报文校验和错误问题在linux上使用tcpdump抓包,使用wireshark分析发现发出的报文校验和都是错误的,可是仍然可以与目标建立链接,正常通信。这是为什么呢?0x00 原因在使用WireShark等截取数据,往往会出现错误的CheckSum,这主要是因为网卡开启了CheckSum Offload(硬件校验和) 功能,系统将CheckSum的计算工作交由网卡去计算,在高速网络...
Android下使用TCPDUMP实现数据抓包教程
01-20
除了TCPDUMP和Wireshark,还有其他抓包工具如Fiddler和Burp Suite,它们也可以在Android设备上抓取和分析数据包,但通常需要特定的配置或代理设置。对于非root的Android设备,还有一些替代方法,例如使用特殊的抓包...
Linux下使用tcpdump抓包的实现方法
01-11
tcpdump是Linux下面的一个开源的抓包工具,和Windows下面的wireshark抓包工具一样, 支持抓取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。 1、安装tcpdump yum install -y tcpdump 2、常见的...
TCPDUMP抓包程序
10-07
TCPDUMP抓包程序是一种强大的网络诊断工具,主要用于捕获和分析网络中的数据包。它由C#语言编写,利用了SharpCap库,能够帮助网络管理员、开发人员和安全专家理解网络流量,检测潜在的问题,如性能瓶颈、安全威胁或...
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
由于Android系统的安全机制,大多数应用程序没有root权限,因此不能直接使用tcpdump工具进行抓包。然而,通过一些特殊的技术手段,我们可以在非root的Android设备上实现抓包功能。 首先,理解tcpdump的运行需求。...
python调用tcpdump抓包过滤的方法
12-25
本文实例为大家分享了python调用tcpdump抓包过滤的具体代码,供大家参考,具体内容如下 之前在linux用python脚本写一个抓包分析小工具,实在不想用什么libpcap、pypcap所以,简单来了个tcpdump加grep搞定。基本思路...
在 Linux 命令行中使用 tcpdump 抓包的一些功能
09-15
此外,tcpdump 提供了间限制和数据包计数器,允许你在达到特定条件后停止抓包。例如,只抓取前 100 个数据包: ```bash $ sudo tcpdump -i any -c 100 ``` 或者在持续 5 秒后停止: ```bash $ sudo tcpdump -i ...
linux系统下使用tcpdump进行抓包方法
09-15
本文将深入探讨如何使用TCPDump进行抓包,包括基本命令、过滤器和高级技巧。 首先,让我们来看一下TCPDump的基本用法。在命令行中,我们通常以以下格式启动TCPDump: ```bash tcpdump [参数] [过滤表达式] ``` 1....
【wireshark】Ethereal抓包发现TCP校验和or检查和错误的原因
zxx的专栏
05-02 5546
今天用Ethereal抓包,抓了之后发现无论无何,都有一些错误的包,但是一分析,那些包却应该是对的,而且也正确的发出去了,后来在网上找了一些资料,终于明白了: 如果发现我们的包出错,但它却能正确的发送出去,那么请按以下步骤检查以下: 第一步:打开设备管理器 第二步:选择当前使用的网卡,双击,打开高级:   一般这个选项都是开启的,我们只需将它设置为关闭就可以了,不过这样会导致速度变慢
超详细的wireshark笔记(6)-UDP协议
weixin_46622350的博客
05-31 644
UDP为什么能如此直接呢?其实是因为它设计简单,想复杂起来都没办法。 在UDP协议头中,只有端口号、包长度校验码等少量信息,总共就8个字节。 小巧的头部给它带来了一些优点。 由于UDP协议头长度还不到TCP头的一半,所以在同样大小的包里,UDP包携带的净数据比TCP包多一些。 由于UDP没有Seq号和Ack号等概念,无法维持一个连接,所以省去了建立连接的负担。这个优势在DNS查询中体现得淋漓尽致。 当然简单的设计不一定是好事,更多的候会带来问题。 1、UDP不像TCP一样在乎双方M...
【博客630】MTU网络问题排查及解决思路
qq_43684922的博客
03-11 4211
网络层发送数据包是有最大长度的,网络层从传输层接收到要发送的数据,它要判断向本地哪个接口发送数据,并查询该接口获得其最大传输单元MTU(MaximumTransmissionUnit),网络层把MTU值与要发送的IP数据长度进行比较,如果IP数据包的长度MTU值大,那么IP数据包就需要进行分片,分片后的数据长度小于等于MTU(包括IP层头部,大小单位:byte)
tcpdump抓包长度大于1514的原因
最新发布
jinauto的博客
10-28 1326
tcpdump抓包中:存在9k以上的包,可能开启了TSO,GRO,GSO;存在1514~9k的包可能开启了TSO,GRO,GSO或Jumbo Frames;通过通过ifconfig 看MTU或ethtool看TSO,GRO,GSO来判断。如果觉得系统受到长包影响,可以用ifconfig或ethtool关闭相应的功能。
tcpdump抓包限定长度
10-18
可以使用tcpdump命令的-s参数来限定抓包长度,单位为字节。例如,要抓取长度为100字节的数据包,可以使用以下命令: ``` tcpdump -s 100 -i eth0 ``` 其中,-i参数指定要监听的网络接口。 相关问题: 1. tcpdump...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值