为什么tcpdump抓包数据校验和异常、长度超过MTU?

最新推荐文章于 2023-10-28 22:01:26 发布
置顶 最新推荐文章于 2023-10-28 22:01:26 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: 网络子系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rikeyone/article/details/108619566
版权

内核实现

tcpdump在抓取网络包时,实际它会创建一个socket,并且设置网卡为混杂模式,用于接收网络链路上所有地址的包。
发送方向:

dev_queue_xmit->dev_queue_xmit_nit:
static void dev_queue_xmit_nit(struct sk_buff *skb, struct net_device *dev)                                                                                                                                                             
{
......
	//检测到有sniffer抓包的钩子就会执行发送报文的抓包
	struct list_head *ptype_list = &ptype_all;
    list_for_each_entry_rcu(ptype, ptype_list, list) {
 
        if (pt_prev) {
            deliver_skb(skb2, pt_prev, skb->dev);
            pt_prev = ptype;
            continue;
        }
......                     
    	}
    }

接收方向:

netif_receive_skb-->__netif_receive_skb_core:

static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc)
{
......
//在这里处理sniffer相关的skb接收处理,也就是tcpdump抓包的位置
list_for_each_entry_rcu(ptype, &ptype_all, list) {
        if (pt_prev)
            ret = deliver_skb(skb, pt_prev, orig_dev);
        pt_prev = ptype;
    }
......
 }

抓包数据异常原因

从上面介绍的内核实现来看,tcpdump抓取的数据分别是驱动接收处理的最后,以及驱动发送处理的开始。因此tcpdump抓取的数据可能不是最终在物理链路上发出去的和接收到的包。
使用tcpdump的抓取的包,然后利用wireshark进行分析那么可能会发现一些报错,主要会有两种异常现象:
MTU

  • 包长度超过MTU
  • 包的checksum不正确

主要原因在于:
1.硬件支持TSO、GRO特性
2.硬件支持checksum offload特性

在支持TSO和checksum offload的网卡上,skb数据在进入驱动层之前是不进行分片处理和完整的checksum计算的,而tcpdump抓取的包恰恰是在此处,而这并不代表实际链路上的包会发生错误。

程序猿Ricky的日常干货
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux基础学习之利用tcpdump实例代码
09-15
9. **限制数量**:`-c`参数用于限制取的封数量,如`tcpdump -c 1000`只捕获前1000个封。 10. **其他高级选项**:`-t`不显示时间戳,`-s`设置取的数据长度,默认68字节,`-S 0`可以取完整,`-vvv`...
TCPDUMP程序
10-07
TCPDUMP程序是一种强大的网络诊断工具,主要用于捕获和分析网络中的数据。它由C#语言编写,利用了SharpCap库,能够帮助网络管理员、开发人员和安全专家理解网络流量,检测潜在的问题,如性能瓶颈、安全威胁或...
为什么时IP会大于MTU
专注于网络编程,游戏后台,高并发
09-30 3106
在linux上的时候,发现了很大的,有的达到了2800字节,在局域网的时候甚至有10K字节以上的。这与我们所学的IP数据不能超过MTU(一般是1500字节)相违背。查资料得知,这是因为网卡有设置tcp-segmentation-offload。这是操作系统为了减轻负担,提高处理效率的一种方法。   我们知道,用TCP/IP协议处理网络流量,要占用大量服务器资源。为了减轻服务器的压力...
tcpdump
weixin_41989934的博客
01-06 707
tcpdump 是Linux下一种网络命令, 通常用tcpdump,然后把数据放到wireshark 工具分析数据
tcpdump的使用,及tcpdump不到自己服务器的(帧)——记录篇
dxgzg的博客
10-07 4374
linux系统有很多块网卡,可以用ifcongig -a打出来,你自己写的服务器一定要监听lo这块网卡,不要监听别的网卡,监听有回环地址的网卡 真是直观的感受到了TCP三次握手和四次挥手,尽管我还有些东西没有看懂 ...
为什么IP层要分片而TCP层要分段? 这些和MTU/MSS又有什么关系?------tcpdump实战搞起!
认知 行动 坚持
07-02 1万+
在前面的文章中, 我们已经了解到, 数据链路层对上层IP长度是有限制的, 以典型的以太网为例, 这个限制值即为MTU(最大值是1500字节), 为此, IP层对上层网络层的数据也有限制, 这个限制值是MSS(最大值为1460字节), 至于为什么是这两个值, 我们在前面的文章已经解释过了, 故不再赘述。 我们设想一下, 如果应用层需要用UDP发送2000字节的数据, 那么加上
linux tcp检验和不正确的是,解决到的报文校验和错误问题
weixin_29483277的博客
05-15 2249
解决到的报文校验和错误问题在linux上使用tcpdump,使用wireshark分析时发现发出的报文校验和都是错误的,可是仍然可以与目标建立链接,正常通信。这是为什么呢?0x00 原因在使用WireShark等截取数据时,往往会出现错误的CheckSum,这主要是因为网卡开启了CheckSum Offload(硬件校验和) 功能,系统将CheckSum的计算工作交由网卡去计算,在高速网络...
Android下使用TCPDUMP实现数据教程
01-20
除了TCPDUMP和Wireshark,还有其他工具如Fiddler和Burp Suite,它们也可以在Android设备上取和分析数据,但通常需要特定的配置或代理设置。对于非root的Android设备,还有一些替代方法,例如使用特殊的...
Linux下使用tcpdump的实现方法
01-11
tcpdump是Linux下面的一个开源的工具,和Windows下面的wireshark工具一样, 支持取指定网口、指定目的地址、指定源地址、指定端口、指定协议的数据。 1、安装tcpdump yum install -y tcpdump 2、常见的...
【wireshark】Ethereal时发现TCP校验和or检查和错误的原因
zxx的专栏
05-02 5550
今天用Ethereal了之后发现无论无何,都有一些错误的,但是一分析,那些却应该是对的,而且也正确的发出去了,后来在网上找了一些资料,终于明白了: 如果发现我们的出错,但它却能正确的发送出去,那么请按以下步骤检查以下: 第一步:打开设备管理器 第二步:选择当前使用的网卡,双击,打开高级:   一般这个选项都是开启的,我们只需将它设置为关闭就可以了,不过这样会导致速度变慢
超详细的wireshark笔记(6)-UDP协议
weixin_46622350的博客
05-31 649
UDP为什么能如此直接呢?其实是因为它设计简单,想复杂起来都没办法。 在UDP协议头中,只有端口号、长度校验码等少量信息,总共就8个字节。 小巧的头部给它带来了一些优点。 由于UDP协议头长度还不到TCP头的一半,所以在同样大小的里,UDP携带的净数据比TCP多一些。 由于UDP没有Seq号和Ack号等概念,无法维持一个连接,所以省去了建立连接的负担。这个优势在DNS查询中体现得淋漓尽致。 当然简单的设计不一定是好事,更多的时候会带来问题。 1、UDP不像TCP一样在乎双方M...
【博客630】MTU网络问题排查及解决思路
qq_43684922的博客
03-11 4327
网络层发送数据是有最大长度的,网络层从传输层接收到要发送的数据时,它要判断向本地哪个接口发送数据,并查询该接口获得其最大传输单元MTU(MaximumTransmissionUnit),网络层把MTU值与要发送的IP数据长度进行比较,如果IP数据长度MTU值大,那么IP数据就需要进行分片,分片后的数据长度小于等于MTU(括IP层头部,大小单位:byte)
tcpdump长度大于1514的原因
最新发布
jinauto的博客
10-28 1386
tcpdump中:存在9k以上的,可能开启了TSO,GRO,GSO;存在1514~9k的可能开启了TSO,GRO,GSO或Jumbo Frames;通过通过ifconfig 看MTU或ethtool看TSO,GRO,GSO来判断。如果觉得系统受到长影响,可以用ifconfig或ethtool关闭相应的功能。
wireshark发现大于1500字节的
欢迎访问方偲的博客
09-14 7432
问题&现象:嵌入式软件开发,平台->设备,发现有很多数据大于配置的MTU值1500 “MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据的大小。 找了如下两篇文章解释两种大于1500字节的数据的存在,1518字节以上的和1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark,偶然发现发送的居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
tcpdump命令
fang.lovest.yang的博客
03-24 1万+
Centos7 安装 yum install -y tcpdump
如何解决wireshark大于mtu的问题
mgxcool的专栏
06-11 1万+
在测试的时候,发现有些时候用wireshark到的中含有很多大于mtu数据。于是试了一下,在本机和在通信的对端同时,发现本机上到了大于mtu,但是对端却没有这种。可以推断出数据在最后发出去的时候,还是进行了切分。 从这个现象大概也可以猜测出wireshark的机制,大概是在什么地方取的。 于是想了想网卡上有没有什么参数可以配置来解决这个问题,最后发现一
取Android & Linux网络
chuifuhuo6864的博客
11-16 276
tcpdump -vv -s 300 -w /sdcard/capture.pcap root@android :/ # tcpdump --h tcpdump --h tcpdump version 3.9.8 libpcap version 0.9.8 Usage: tcpdump [-...
tcpdump参数解析及使用详解
热门推荐
weixin_46048542的博客
12-05 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据tcpdump 适用于大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有一定的认识。 tcpdump命令格式及常用参数 Tcpdump的大概形式如下: 例:tcpdump –i eth0 'por
使用tcpdump 进行网络分析
Daniel 的技术笔记 不积跬步无以至千里,不积小流无以成江海。
01-18 1万+
tcpdump介绍 tcpdump 是一个运行在命令行下的工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有
tcpdump限定长度
10-18
可以使用tcpdump命令的-s参数来限定长度,单位为字节。例如,要长度为100字节的数据,可以使用以下命令: ``` tcpdump -s 100 -i eth0 ``` 其中,-i参数指定要监听的网络接口。 相关问题: 1. tcpdump如何过滤特定协议的数据? 2. 如何将tcpdump到的数据保存到文件中? 3. tcpdump如何显示数据的十六进制内容?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值