wireshark里的“TCP segment of a reassembled PDU”

原创 2010年03月28日 15:43:00

    上周在公司里遇到一个问题,用wireshark抓系统给网管上报的数据发现里面有好多报文被标识为“TCP segment of a reassembled PDU”,并且每一段报文都是180Byte,当时看到这样的标识,觉得是IP报文分片,以为系统的接口MTU值为设置小了,通过命令查询发现是1500,没有被重设过,当时有点想不通。

    回来查了一下,发现自己的理解是错的,“TCP segment of a reassembled PDU”指的不是IP层的分片,IP分片在wireshark里用“Fragmented IP protocol”来标识。详细查了一下,发现“TCP segment of a reassembled PDU”指TCP层收到上层大块报文后分解成段后发出去。于是有个疑问,TCP层完全可以把大段报文丢给IP层,让IP层完成分段,为什么要在TCP层分呢? 其实这个是由TCP的MSS(Maximum Segment Size,最大报文段长度)决定的,TCP在发起连接的第一个报文的TCP头里通过MSS这个可选项告知对方本端能够接收的最大报文(当然,这个大小是TCP净荷的大小),以太网上这个值一般设置成1460,因为1460Byte净荷+20Byte TCP头+20Byte IP头 = 1500字节,正好符合链路层最大报文的要求。

    至于收到一个报文后如何确定它是一个"TCP segment"?如果有几个报文的ACK序号都一样,并且这些报文的Sequence Number都不一样,并且后一个Sequence Number为前一个Sequence Number加上前一个报文大小再加上1的话,肯定是TCP segment了,对于没有ACK标志时,则无法判断。

    既然收到的TCP报文都是180Byte的segment,那么应该是协商的时候PC端告知了MSS为180Byte,至于为什么这样,只能等抓包后确认是MSS的问题再排查了。另外,有一种情况也可能导致这个问题:被测系统因为MTU为220Byte而设置MSS为180Byte,但是这种情况现在可以排除,因为前面讲过,已经查询过MTU值为1500。

也谈一下TCP segment of a reassembled PDU

今天利用windows查找功能对网络上的一个共享文件夹里的内容 进行查找,发现查找网络文件时流量巨大。好奇用wireshark抓包发现 wireshark Info栏里有很多“TCP segment ...
  • hldjf
  • hldjf
  • 2012-04-11 17:26:41
  • 57813

关于“TCP segment of a reassembled PDU”

为什么大家看到这个以后总是会往MSS,TSO上联系呢?也许第一个解释这个的人是个高手,而且以MSS/MTU/TSO的观点解释了这个问题,还有一种可能就是TSO等技术让人觉得太牛逼,毕竟是底层硬件机制吧...
  • dog250
  • dog250
  • 2016-07-02 09:02:03
  • 10587

WireShark中TCP segment of a reassembled PDU说明

在WireShark中经常可以看到有TCP segment of a reassembled PDU出现,TCP segment of a reassembled PDU指TCP层收到上层大块报文后分...
  • kalman2008
  • kalman2008
  • 2015-04-24 00:52:28
  • 1216

wireshark中“tcp segment of a reassembled pdu”的解释

转自于http://blog.csdn.net/rossini23/article/details/5424850 “TCP segment of a reassembled PDU”指TCP层收到...
  • doupei2006
  • doupei2006
  • 2012-05-06 18:13:27
  • 10045

tcp segment of a reassembled PDU

用Wireshark抓包是观察到某些tcp报文的info显示的是 [tcp segment of a reassembled PDU] 一开始百度搜索结果,一直没能理解到底是什么意思。 后来到go...
  • qq_23305673
  • qq_23305673
  • 2017-03-30 22:44:03
  • 252

TCP segment of a reassembled PDU

文章出处:http://www.wireshark.org/lists/wireshark-users/200806/msg00045.html Wireshark-users: [Wire...
  • ixidof
  • ixidof
  • 2013-07-14 14:40:40
  • 2915

TCP通信流程解析

本文通过抓包分析详解访问百度网站过程,分析TCP通信流程,兼谈MTU/MSS,TCP/UDP以及TCP序列号确认机制。...
  • phunxm
  • phunxm
  • 2010-08-24 23:06:00
  • 82977

使用 wireshark 高效,准确地鉴别出入站的恶意流量

转载 http://shayi1983.blog.51cto.com/4681835/1598656 这篇博文实际上是 http://shayi1983.blog.51cto.c...
  • Rodney443220
  • Rodney443220
  • 2015-02-12 14:08:33
  • 4445

最全的TCP/IP各层PDU结构汇总

TCP/IP模型主要协议   MIME   HTTP FTP SMTP TELNET BGP ...
  • jiafu1115
  • jiafu1115
  • 2011-10-20 09:32:40
  • 3809

tcp segment of reassembled pdu分析

今天使用wireshark进行抓包时,发现大量的tcp segment of reassembled pdu数据包,不是很明白, google搜索发现wireshark官方网站有详细说明http://...
  • zkylqh123
  • zkylqh123
  • 2010-05-20 14:35:00
  • 3653
收藏助手
不良信息举报
您举报文章:wireshark里的“TCP segment of a reassembled PDU”
举报原因:
原因补充:

(最多只允许输入30个字)