如何解决wireshark抓包大于mtu的问题

最新推荐文章于 2025-02-18 18:03:36 发布
最新推荐文章于 2025-02-18 18:03:36 发布
阅读量1w 收藏 12
点赞数 6
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mgxcool/article/details/73028534
版权

在测试的时候,发现有些时候用wireshark抓到的包中含有很多大于mtu的数据包。于是试了一下,在本机抓包和在通信的对端同时抓包,发现本机上抓到了大于mtu的包,但是对端却没有这种包。可以推断出数据包在最后发出去的时候,还是进行了切分。

从这个现象大概也可以猜测出wireshark抓包的机制,大概是在什么地方抓取的包。

于是想了想网卡上有没有什么参数可以配置来解决这个问题,最后发现一个参数“大量发送卸载”,顺手百度了一下,大概意思就是开启之后由网卡来执行对大块数据的切分操作,这样可以降低操作系统的压力。把这个功能禁用之后,果然抓到的包中就没有大于mtu的数据报文了。

于是可以猜想,系统在通过网卡发送数据的时候,是往一个缓冲区中放入数据,当开启网卡的“大量发送卸载”功能时,系统就不会计算每个data段的长度,只管往缓冲区写入数据,最后分包的操作由网卡来完成。当关闭这个参数的时候,系统写入缓冲区的数据是根据mtu计算好的。 由此也可以猜测出wireshark抓的就是这个缓冲区中的内容。 不过这一些都是我根据现象进行的一些猜测,没有深入进行验证。

server 2008下如何修改该参数:

网卡属性->高级->“大量发送卸载” 禁用

udp超过mtu长度 linux,TCP UDP 数据包长度(MSS)总结
weixin_34108829的博客
05-16 2250
MTU: Maxitum Transmission Unit 最大传输单元MSS: Maxitum Segment Size 最大分段大小以太网(Ethernet)数据帧的长度必须在 64Bytes-1518Bytes 字节之间,这是由于以太网传输电气方面限制的,EthernetII 协议报头结构如下:| 目的地址(DMAC) | 源地址(SMAC) | 类型(TYPE) | 数据(DATA) ...
WireShark抓包使用
Tina00122的博客
03-31 1542
菜单栏工具栏数据包列表面板数据包详细详细面板数据包字节信息面板。
网络技术----wireshark抓包出现1500以上的大包原因分析
zhangxiaio1的博客
11-05 1577
简单来说就是,原本由内核处理的拆包,交给了网卡来处理,而我们通过 tcpdump 抓包工具抓取的是从内核到网卡路径上的数据包,所以会存在上述问题,如果在交换机处抓包,那么对应的大小为MSS值或小于 MSS 值。具体取决于操作系统的网络堆栈和驱动程序的工作原理。接收过程:Wireshark通常捕获的是网卡传给操作系统的数据包,因此如果硬件支持并启用了LRO(Large Receive Offload)等技术,Wireshark可能捕获到的是网卡已经重组好的较大数据包,而非网络上实际传输的小分片。
如何提高Wireshark抓包效率详解,零基础入门到精通,收藏这篇就够了
最新发布
A1_3_9_7的博客
02-18 708
Wireshark作为一款广泛使用的网络协议分析工具,在网络故障排查、安全分析、性能监控等方面发挥着重要作用。然而,面对海量的网络数据包,如何提高Wireshark抓包效率,成为每个网络管理员和分析人员需要掌握的技能。本文将从设置捕获包大小、设置过滤器、选择合适的接口等多个方面详细讲解如何提高Wireshark抓包效率。
[Linux] Wireshark 抓到超过大于MTU 的封包
wangwuyy
11-30 4214
在 Linux Wireshark 有時候會抓到比 MTU Size 更大的封包, ex: 2336, 5160 .. etc.這個問題源自於 Linux NIC driver enable GRO (Generic Receive Offload), 這功能會將數個封包組合成一個大封包以增加速度。這時可以用 ethtool 去修改網路卡的參數使用 ethtool -k 查看狀況。 $ eth
【网络】MTU相关网络丢包问题分析处理
michaelwoshi的博客
09-18 5606
MTU相关网络丢包问题分析处理
Wireshark抓包和分析,看这篇就够了!
热门推荐
伤心的辣条
08-18 1万+
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
【博客630】MTU网络问题排查及解决思路
qq_43684922的博客
03-11 5574
网络层发送数据包是有最大长度的,网络层从传输层接收到要发送的数据包时,它要判断向本地哪个接口发送数据,并查询该接口获得其最大传输单元MTU(MaximumTransmissionUnit),网络层把MTU值与要发送的IP数据包长度进行比较,如果IP数据包的长度比MTU值大,那么IP数据包就需要进行分片,分片后的数据包长度小于等于MTU(包括IP层头部,大小单位:byte)
MTU抓包详细分析举例说明
01-05
通过抓包工具如Ethereal(Wireshark的前身)可以深入分析网络流量,找出可能的性能瓶颈或问题。在实际网络环境中,如果需要避免分片,可以通过调整发送端的MTU值,使其适应目标网络的最小MTU限制,通常称为路径MTU...
Wireshark抓包实验
vic_to_ry的博客
12-24 6956
Wireshark的基本使用 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 跟踪数据流 Wireshark简介: Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 参考资料 官方文档 新手教程 Wireshark软件 基本使用: 使用内容包括:1、Wireshark软件下载和安装以
最新Wireshark抓包分析IP协议_捕捉并分析ip数据包
2401_84281720的博客
05-04 1583
作者简介」:优快云 top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」:此文章已录入专栏试验目的:抓包分析IP协议的传输过程和数据分片操作系统:Windows 10 企业版抓包工具:Wireshark 3.6.3。
网络管理实验一、Wireshark常用抓包工具的使用
liyao1569的博客
03-25 1527
简要分析了ARP、TCP、SNMP的协议
TCP 的那些事 | MTU
u014023993的专栏
12-16 2786
网络通信中,经常会遇到一个概念MTU,全称是Maximum Transmission Unit(最大传输单元)。那么什么是MTUMTU的作用是什么,本文从最基本的概念出发,一步步讲起。 MTU是最大传输单元,针对的对象是以太网帧中的数据。MTU的确切意思就是以太网帧中数据的最大长度,注意,是以太帧中有效载荷的最大长度,不包括以太帧帧首尾部的长度。 以太网帧数据格式如下: 以太网帧数据格式...
wireshark抓包发现大于1500字节的包
欢迎访问方偲的博客
09-14 8721
问题&现象:嵌入式软件开发,抓包平台->设备,发现有很多数据包大于配置的MTU值1500 “MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据包的大小。 找了如下两篇文章解释两种大于1500字节的数据包的存在,1518字节以上的和1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark抓包,偶然发现发送的包居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
为什么抓包时IP包会大于MTU
专注于网络编程,游戏后台,高并发
09-30 3226
在linux上抓包的时候,发现了很大的包,有的包达到了2800字节,在局域网的时候甚至有10K字节以上的包。这与我们所学的IP数据包不能超过MTU(一般是1500字节)相违背。查资料得知,这是因为网卡有设置tcp-segmentation-offload。这是操作系统为了减轻负担,提高处理效率的一种方法。   我们知道,用TCP/IP协议处理网络流量,要占用大量服务器资源。为了减轻服务器的压力...
IP、TCP、UDP数据包长度问题
aflyeaglenku的博客(QQ1010316426)
07-11 2771
今天使用wireshark抓包,查看了一下数据包长度统计的页面,发现TCP传输的包长度超过MTU(我所在的局域网是1500)。
TCP packet length was much greater than MTU
jiujiu372的博客
08-03 1292
背景:安卓检测程序模拟正常业务每隔5s向服务器发起请求,检测程序采用的协议为http1.1长连接。 问题描述:在客户端发起的请求中,出现tcp数据包大于MTU(最大传输单元),而且出现了乱序,在这种情况出现时一次请求的时间明显变长,从原先一次请求只需要60ms突增到1s,这个时间相对还是很大的。 问题分析: 从tcp三次握手交互中可以看到客户端MSS=1440;服务器MSS=1460。 从
tcpdump抓包长度大于1514的原因
jinauto的博客
10-28 2166
tcpdump抓包中:存在9k以上的包,可能开启了TSO,GRO,GSO;存在1514~9k的包可能开启了TSO,GRO,GSO或Jumbo Frames;通过通过ifconfig 看MTU或ethtool看TSO,GRO,GSO来判断。如果觉得系统受到长包影响,可以用ifconfig或ethtool关闭相应的功能。
虚拟靶场抓到巨帧包
Askshhbs的博客
04-20 1096
前言 在自己的虚拟化靶场中抓包,发现 wireshark 面板中的 Length 远大于 MTU,而明明在抓包网卡MTU是1500,这是为什么呢? 将这个包的流量回放到 snort 的接收网卡上,发现 snort 并没有“接收”到这个包,这是为什么呢? 带着这两个为什么,开始接下来的探索吧! 餐前小菜 正餐开始前,必须先知道这些定义,如图1所示: 图1: 5个必知定义 1、Jumbo frames:巨型帧,也叫巨帧。指的是链路层上负载超过1500字节的以太网帧,一般来说巨帧最多..
wiresharkmtu
01-04
### 使用 Wireshark 捕获和分析 MTU 相关的数据包 #### 设置捕获过滤器 为了专门针对特定大小的数据包进行捕获,可以利用Wireshark的捕获过滤功能。如果目标是观察与MTU有关联的大尺寸数据包传输情况,在启动Wireshark之后设置恰当的捕获选项是非常重要的。对于想要捕捉到超过一定长度(比如接近或等于典型MTU值1500字节)的数据包,可以在接口配置中的捕获过滤器输入框里指定条件,例如`udp and greater 1472`来专注于UDP协议下的大包情形[^1]。 #### 执行Ping测试并调整负载大小 通过命令行工具执行带有自定义负载大小参数的ping操作可以帮助生成用于检验路径上最小最大传输单元(MTU)的实际流量实例。具体来说,使用如下形式的指令发送具有较大payload的数据报至目的地址:`ping -c 4 -s 1600 {{ip_address}}`。这里-s参数指定了每个ICMP回显请求消息携带的有效载荷长度为1600字节,这通常会触发DF(Do not Fragment)标志位被置位的情况,从而有助于发现可能存在的MTU瓶颈位置。 #### 应用显示过滤器筛选相关条目 一旦完成了初步的数据收集过程,则需进一步运用强大的显示过滤机制缩小关注范围直至锁定感兴趣的事件序列。考虑到MTU议题往往涉及分片现象以及TCP/IP栈内部行为特性,建议采用诸如`(icmp && icmp.msgtype==11)||(tcp.flags.syn==1)&&(tcp.len>=(mtu_value-40))`这样的表达式作为基础模板加以适当修改完善,以便高效定位那些因超出链路层所能承载的最大帧长而遭遇处理异常的关键样本集;其中mtu_value应替换为你所关心的具体数值减去IP头部开销后的净空间量度[^2]。 #### 分析网卡卸载影响因素 值得注意的是,在现代计算机系统架构下,某些高级别的硬件加速特性可能会干扰原始预期模式下的通信流程表现形态。特别是当启用了各类形式各异的网卡卸载选项时——它们允许将部分原本由主机处理器负责的任务转移给具备相应运算资源支持的网络适配器完成——则可能导致实际观测所得结果偏离理论模型预测趋势。因此,在深入探讨任何关于MTU敏感型应用案例前,务必确认实验环境中是否存在此类潜在变量,并采取必要措施予以排除或补偿修正其效应所带来的偏差风险[^3]。 ```bash # 发送带特殊负载大小的 ICMP 请求 ping -c 4 -s 1600 {{ip_address}} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值