首先说明,wirshark是个软件,所以自身执行抓包的位置是固定的
CPU发包--->wirshark抓包---->网卡发包------->网卡收报------->wirshark抓包------>cpu收报
如果网卡有tcp分段能力和处理,如果内容大于1518,则CPU还是就会肆无忌惮的发送和接收大包,反正网卡帮着干了
这样wirshark自然怎么抓包都是大包,因为实质上,wirshark转的是cpu收发的包,不是网卡收发包
网卡的这个能力很讨厌,我们有的时候想让wireshark抓网卡的包怎么办呢,抓实际的小包 1518以下的
那么根据上面的分析,修改网卡参数,让其禁用tcp分段能力
linux分段能力禁用
https://mp.csdn.net/postedit/103904254
window下分段能力禁用:
https://mp.csdn.net/postedit/103904416