wireshark捕捉ip数据遇到的问题Header checksum: 0x0000

最新推荐文章于 2025-07-24 15:18:50 发布
最新推荐文章于 2025-07-24 15:18:50 发布
阅读量2.2w 收藏 40
点赞数 14
分类专栏: 通讯
本文详细介绍了使用Wireshark抓取UDP数据包时出现Headerchecksum错误的问题,分析了可能的原因,并提供了解决方案。通过修改网卡驱动的高级配置,关闭IPv4硬件校验和功能,可以解决Wireshark捕获的UDP数据包的IP头校验错误问题。


wireshark捕捉ip数据遇到的问题Header checksum: 0x0000 [incorrect, should be...(maybe caused by “ip)

调程序时需要分析实验板与计算机之间的数据传输,用到网络抓包软件。使用wireshark抓取UDP报时总是出现Header checksum: 0x0000 [incorrect, should be...(maybe caused by “ip),想了半天找不出到底哪里出了问题。实验板给计算机发的包没有这个问题,计算机返回的包出现这种错误,估计问题可能处在计算机上。

Google+百度了半天总算找到了有用的帖子,问题宣告解决,下面直接把别人的贴过来:

Wireshark捕获的outgoing TCP包的IP header checksum error问题

标题其实描述得不是很到位,所以重述一遍问题:

使用Wireshark/Ethereal等抓包工具在本机抓包,会发现发出的TCP包被标记为IP头校验错误。
在Wireshark for win上的表现,往往是header checksum == 0x0000。
该问题在xp、win7均可能存在 。

这个问题困扰我好久,怀疑过是wireshark的bug,但是想想也不可能,也怀疑过是windows的问题,不过从实际的上层应用的表现来看,似乎这个问题又没有引发任何影响。之前也使用ip header checksum error 关键词在Google搜索过,相关帖子还是有的,不过都没有建设性的答案。今天人品爆发,竟然搜到了答案,赶快记录下来:

http://www.netexpert.cn/viewthread.php?tid=4850
该文章是05年的,汗一个,那时我还在泡妞和逃课。

这里总结一下原因和解决方案:

网卡驱动的高级配置中,一般有两项叫做Rx Checksum Offload和Tx Checksum Offload
以win7为例,可以看下图所示:


其中的“IPv4硬件校验和”即对应了这两个选项,它的可选项有“Rx & Tx 开启、Rx开启、Tx开启和关闭”四个。
默认的配置往往是 Rx & Tx 开启。它表示网卡会帮应用进行计算ip头的checksum字段,这样一来,操作系统的ip协议栈无须进行额外的checksum运算,它只需封装好ip数据报后甩给网卡即可。甩给网卡的原始ip报文的checksum字段值,原则上是无意义的,即随机的,但是根据windows上的表现来看,这个值一直是固定0x0000。

猜测一下Wireshark的抓包原理,大概是利用Pcap提供的某种机制,把发给网卡的数据给截获了一份,这样一来,如果操作系统协议栈中出来的ip包的checksum尚未被正确设置,Wireshark完全不知道该数据还会被网卡进行修正,于是它就报错了。

至此,如何使得Wireshark不再抱怨ip头校验错误,答案已经显而易见了,直接选择关闭“IPv4硬件校验和”选项即可(选择“Rx开启”应该也是可行的,这样就相当于关闭了Tx的硬件校验和功能。但是我没有试验过)。

//======================================

按照上面的方法改了之后果然就没有问题了,顶一个。

Header checksum: 0x0000 [incorrect, should be...(maybe caused by “ip checksum off load?”)]

原文:http://blog.sina.com.cn/s/blog_65db99840100kmzp.html

wireshark抓自己发出去的包的时候碰到这个问题,以为是程序的问题,可是接收方却说收到的包一点问题都没有。奇怪了,到网上一搜,长见识了。

http://forums.whirlpool.net.au/forum-replies-archive.cfm/1265837.html

a lot of modern network cards use TCP/IP checksum offloading, in which case Windows doesn't bother generating a checksum for each outbound packet and the network card adds them just before transmission.

This reduces the amount of work that the computer's CPU has to do, but the problem is that Wireshark can only intercept packets at the OS level, and hence thinks the checksums are invalid (when in fact the problem is that they haven't been added yet).

大意就是操作系统偷懒,把计算校验和的工作扔给了网卡,网卡在包发出去才加上校验和,wireshark在OS层抓包的时候,包的校验和还没被添加,是0x0000,于是认为header checksum incorrect。

想让OS自己加校验和,怎么办呢?

http://support.microsoft.com/kb/904946

要变通解决此问题,关闭将卸载网络适配器上的校验和。若要这样做,请按照下列步骤操作:

1.     单击 开始、单击 运行,键入 regedit,然后单击 确定

2.     找到并单击以下注册表子项: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

3.     在右窗格中确保DisableTaskOffload 注册表项存在。如果此项不存在,请按照下列步骤以将项添加操作: 

a.       在 编辑 菜单上指向 新建,然后单击 DWORD 值

b.       键入 DisableTaskOffload,然后按ENTER 键。

4.     单击 DisableTaskOffload

5.     在 编辑 菜单上单击 修改

6.     在 数值数据 框中键入 1,然后按ENTER 键。

7.     退出注册表编辑器。

可是,我在win7下改了也没用,莫非要重启机器?不懂ing

 

果然,重启后正常了

Windows网络包中IP报文校验和为0
while(1) { smile(); }
01-05 11万+
在使用wireshark抓包时发现抓到的包checksum0,但应用能够正常发送和接收数据。 出现这种问题的原因是:我们开启了网卡的“硬件校验和”的功能。开启了这个功能之后协议栈就不会进行校验和的计算了,有助于提高网络性能。因为协议栈没有计算校验和,所以wireshark抓到的包中checksum0. 要解决这个问题,关闭网卡的“硬件校验和”的功能就可以了。
网络分析工具Wireshark系列专栏:09-从零分析ICMP协议包
网络技术联盟站
06-28 202
想象一下,你正在给远方的朋友发送一封电子邮件,突然邮件无法送达。这时,谁来告诉你出了什么问题?答案就是ICMP协议——Internet Control Message Protocol(互联网控制消息协议)。它是TCP/IP协议族中的一员,专门负责传递网络层的控制消息,比如报告错误、测试连通性等。可以说,ICMP是网络通信中的“幕后英雄”,没有它,我们可能连网络出了什么问题都无从知晓。今天就走进专栏第9篇,用Wireshark分析ICMP协议,也是第二个分析的网络协议。
Wireshark捕获的outgoing_TCP包的IP_header_checksum_error问题.doc
01-05
关于网上抓包工具出现大量校验和错误的问题
Wireshark专家模式定位网络故障:14种TCP异常深度解剖
最新发布
2401_84578953的博客
07-24 842
TCP连接如同精密运转的传送带,每一个异常数据包都是故障的早期信号。作为网络工程师的“外科手术刀”,Wireshark在TCP故障诊断领域的价值无可替代。本文将通过,揭示如何利用Wireshark专家系统(Expert System)和高级过滤技术精准定位TCP层异常。:服务器性能骤降,防火墙告警SYN泛洪:客户端连接特定服务超时:连接建立后立即中断• 三次握手成功后,服务端立即返回RST•:文件传输卡顿Win=0:高速传输时吞吐量骤降:连接长期处于FIN_WAIT状态。
Wireshark抓包语句、抓包分析及校验和计算
Chenhui的博客
12-23 1万+
文章目录一. Wireshark下载二. Wireshark抓取数据包1.抓取数据包2.常见的抓包过滤语句1. 过滤IP2.过滤端口3.过滤协议4.过滤MAC地址5.http模式过滤三.对数据包分析1. 物理层数据帧的分析2.数据链路层以太网帧头部信息3.网络层IP数据包头部信息4.传输层TCP数据段头部信息四. IP校验和计算 一. Wireshark下载 WireShark官网链接:https://www.wireshark.org/ 在官网的下载页面选择相应的下载文件进行下载,然后安装。  
WIRESHARK基础教程以太帧的分析。
aLLLiyyy的博客
10-07 1万+
首先应该明白,封装以太帧的位于OSI七层模型的第二层,也就是数据链路层,wireshark可以把完整的以太帧抓起来,我们可以清楚的看到。打开wireshark找到自己ip对应的网卡,点开,随便点一个协议,这里以UDP协议为例子,截图如下 上面用红笔写的1,2,3,4分别对应 1:以太帧总信息,2:以太帧头部,3:IP 数据包,4:UDP数据包。他们是有联系的,且看我在下面解释。 第一个解释,Fra...
Header checksum: 0x0000 [incorrect, should be...]
no pay no gay
03-12 4080
wireshark抓自己发出去的包的时候碰到这个问题,以为是程序的问题,可是接收方却说收到的包一点问题都没有。奇怪了,到网上一搜,长见识了。 http://forums.whirlpool.net.au/forum-replies-archive.cfm/1265837.html a lot of modern network cards use TCP/IP checksum offload
Wireshark抓包时显示IP校验和错误(checksum incorrect)
jiangqin115的专栏
09-17 1万+
在抓包的过程发现很多从本地主机(客户机)发出的 TCP 包有很多都是报 IP checksum error ,但应用正常,从 server 返回的包也一切正常,很是奇怪。 如图,很多黑色的条目,黑色一般就是有问题的包: 网上有一篇帖子,说明了这个情况产生的原因: http://www.netexpert.cn/thread-4850-1-1.html 5.23 Ethereal抓包时发
Wireshark数据抓包分析之互联网协议(IP协议)
ChuMeng1999的博客
02-17 4574
目录预备知识互联网协议地址(IP地址)的由来IP协议介绍IP地址的构成IP数据报实验目的实验环境测试环境实验步骤一1.使用Wireshark抓取IP数据包1.1访问一个网页1.2执行ping命令2.使用Wireshark抓取IP分片数据包实验步骤二1.熟悉IP数据报首部格式2.存活时间TTL3.IP分片4.分析IP数据包5.分析IP首部6.分析IP数据包中TTL的变化1)分析同网段中数据包的TTL值2)分析不同网段中数据包的TTL值7.IP分片数据包分析1)第200数据包2)第201帧数据包3)第202帧
【愚公系列】2023年04月 wireshark系列-数据抓包分析之IP协议
热门推荐
时光隧道
08-21 5万+
IP协议是一种网络协议,用于在互联网上发送和接收数据包。它是Internet Protocol(互联网协议)的缩写,是互联网中最基础的网络协议之一。
关于wiresharkHeader checksum问题解决方案
someonelikesyou的专栏
09-27 1万+
包在wireshark中显示是黑色的,IP层显示错误:Header checksum: 0x0000 [incorrect, should be 0xffff (maybe caused by "IP checksum offload)]. 首先解释Checksum offloading: http://man.lupaworld.com/content/network/wiresha
Wireshark抓包处理网络故障
04-01
Wireshark抓包处理网络故障
wireshark抓包时出现header checksum出错
opkg list
11-21 8778
snmp测试时发现(不仅snmp协议出现这个问题,还有ICMP等等), wireshark抓包有header checksum校验错误,并且源地址为本地地址,目标地址为板卡地址,这就说明是windows系统的配置问题,在网上找到的解决方法,蛮实用的。 解决方法: 我的电脑-》管理-》设备管理器  选择网卡并双击-》高级 -》IPV4硬件校验和的值设为关闭 再次抓包就会发现这个问题解决啦
关于Tcp包出现CheckSum incorrect的问题
家辉自留地
11-03 2万+
        今天同事在做NEC测试的时候发现两个设备不能正常工作,通过抓包发现包的Tcp层中出现下面的错误:        CheckSum: 0xe719 [Incorrect, should be 0xc2f8 (maybe caused by "TCP checksum offload"?)]        在网上搜寻了很久,各种说法都有。但比较普遍的看法是因为网卡帮助Tcp协议
关于Wireshark捕获TCP包的IP header checksum error问题
weixin_30726161的博客
12-10 293
在给别人写项目的时候,一个组件涉及到了TCP层的数据发送与接收。 因为项目中这个组件有早起版本,所以也算是接手别人的东西。 看了原来的代码半天云里雾里后决定用Wireshark来抓包,直接看包里面传输的数据格式反倒更简便。 最后把组件搞定后用Wireshark测试的时候发现了好多的包都被标记为 Bad Tcp 把包打开仔细查看后发现只有一个问题就是:header checksum == 0...
tcp checksum incorrect_TCP如何流量控制?面试必备篇
weixin_39939665的博客
10-26 717
TCP 为了防止发送方无脑的发送数据,导致接收方缓冲区被填满,所以就有了滑动窗口的机制,它可利用接收方的接收窗口来控制发送方要发送的数据量,也就是流量控制。接收窗口是由接收方指定的值,存储在 TCP 头部中,它可以告诉发送方自己的 TCP 缓冲空间区大小,这个缓冲区是给应用程序读取数据的空间:如果应用程序读取了缓冲区的数据,那么缓冲空间区的就会把被读取的数据移除如果应用程序没有读取数据,则数据会一...
抓包神器 Wireshark,帮你快速定位线上网络故障(1)
一猿小讲
12-19 3343
1开篇:吊足胃口「初入职场的菜菜同学」一心想靠 Java 技术来改变世界,未成想被网络环境问题缠身,于是抱着电脑,满怀希望的去找运维同事寻求帮助。菜菜问:运维大佬,帮忙看看这是什么问...
抓包神器 Wireshark,帮你快速定位线上网络故障(3)
一猿小讲
12-23 2128
1复习:TCP 三次握手&四次挥手正式分享之前,先简单复习一下 TCP 的三次握手、四次挥手。TCP 通过三次握手建立连接(一图解千愁):TCP 协议通过四次挥手断开连接(一...
wireshark抓包 抓到的IP头结构是什么
03-12
<think>好的,我现在需要帮助用户了解Wireshark抓包时捕获的IP头部结构。首先,我得回忆一下IP头部的标准结构,然后结合Wireshark的实际展示方式来解释。用户可能不太熟悉网络协议,所以需要用简单易懂的语言,同时确保信息的准确性。 首先,IP头部的各个字段是必须的。根据IPv4的标准,头部通常包括版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、首部校验和、源地址、目的地址,可能还有选项。每个字段的长度和用途都需要明确说明。例如,版本是4位,表示IPv4,首部长度也是4位,但通常以32位字为单位,所以需要乘以4得到字节数。 接下来,用户可能想知道在Wireshark中这些字段是如何展示的。比如,Wireshark可能会将某些字段合并显示,或者用更直观的名称,比如“Differentiated Services Field”代替“服务类型”。这时候需要结合具体的抓包截图或示例来说明,但用户可能没有截图,所以用文字描述清楚每个字段的位置和常见值会更合适。 然后,考虑到用户可能对某些术语不熟悉,比如“生存时间(TTL)”和“协议字段”的作用,需要进一步解释。例如,TTL用于防止数据包无限循环,每经过一个路由器减1,当为0时丢弃。协议字段指出上层协议,比如6是TCP,17是UDP,这些常见值可以举例说明,帮助用户理解。 另外,首部校验和的计算方式也是一个关键点,需要说明它是如何计算的,以及Wireshark如何验证它是否正确。如果校验和不匹配,Wireshark可能会标记为错误,这对于用户排查网络问题很有帮助。 用户可能还会有疑问,比如IP头部是否有可选字段,这时候需要说明选项字段的存在,但通常很少使用,大部分情况下头部长度是20字节。此外,分片相关的字段(标识、标志、片偏移)可能在抓包中出现的频率,以及它们的作用场景,比如当数据包超过MTU时会分片,这时候这些字段就派上用场了。 最后,为了确保用户能够实际应用这些知识,可以建议他们在Wireshark中过滤IPv4流量,查看具体的数据包,并对照各个字段进行分析。同时,生成的相关问题要覆盖用户可能进一步想了解的内容,比如IPv6的结构、如何过滤IP流量、分片机制的影响等,这样能帮助他们深入学习和解决问题。 需要检查是否有引用站内内容,根据提供的引用,可能引用[^1]提到DNS traceroute的包构造,引用[^2][^3]是关于SDP的消息示例,似乎和IP头部结构无关,所以可能不需要在回答中引用这些内容。因此,回答中将不包含引用标识,确保符合用户的要求。</think>### Wireshark捕获的IP头部结构解析 IPv4头部结构在Wireshark中显示为以下字段(总长度20字节,若含选项则为最长60字节),各字段详细说明如下: 1. **版本(Version)** - 4位,固定为`4`,表示IPv4协议 - Wireshark显示示例:`Version: 4` 2. **首部长度(IHL)** - 4位,单位为32位字(需×4转为字节) - 例如:`Header Length: 5 (20 bytes)` 3. **服务类型(Type of Service, ToS)** - 8位,包含优先级、延迟、吞吐量等QoS参数 - Wireshark可能显示为`Differentiated Services Field`或`Explicit Congestion Notification` 4. **总长度(Total Length)** - 16位,表示整个IP数据包(头部+数据)的字节数 - 示例:`Total Length: 1500` 5. **标识(Identification)** - 16位唯一值,用于分片重组 - 分片数据包中相同标识表示同属一个原始包 6. **标志(Flags)** - 3位,控制分片行为: - 第1位:保留(必须为0) - 第2位(DF):禁止分片 - 第3位(MF):更多分片(非最后一个分片时为1) - Wireshark显示示例:`Flags: 0x02 (Don't Fragment)` 7. **片偏移(Fragment Offset)** - 13位,表示当前分片在原始包中的位置(单位:8字节) - 用于重组分片顺序 8. **生存时间(Time to Live, TTL)** - 8位,每经一个路由器减1,归零则丢弃 - 示例:`TTL: 64` 9. **协议(Protocol)** - 8位,指出上层协议类型: - `6`:TCP,`17`:UDP,`1`:ICMP - Wireshark自动解析协议名称,如`Protocol: TCP` 10. **首部校验和(Header Checksum)** - 16位,用于验证头部完整性 - Wireshark会标注校验结果:`Checksum: 0x1234 [correct]` 11. **源地址与目的地址(Source/Destination Address)** - 各32位,格式为IPv4点分十进制(如`192.168.1.1`) 12. **选项(Options,可选)** - 可变长度,用于扩展功能(如时间戳、路由记录) --- ### Wireshark中的实际显示示例 在抓包界面中,IP头部会以树状结构展开,例如: ``` Internet Protocol Version 4, Src: 192.168.1.2, Dst: 8.8.8.8 Version: 4 Header Length: 20 bytes TTL: 64 Protocol: UDP (17) Checksum: 0xabcd [valid] Source Address: 192.168.1.2 Destination Address: 8.8.8.8 ``` --- ### 操作建议 1. **过滤IPv4流量**:在Wireshark输入`ip`过滤所有IPv4数据包 2. **查看分片细节**:搜索`ip.flags.mf == 1`定位分片数据包 3. **校验和分析**:右键IP头部选择`Validate Checksum`验证校验和 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值