wireshark抓包大于1500字节和提示checksum offload的原因

最新推荐文章于 2024-04-13 14:21:08 发布
转载 最新推荐文章于 2024-04-13 14:21:08 发布 · 1.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/jsahz/2061719
文章标签:

#网络 #操作系统

本文介绍Wireshark抓取超过1500字节数据包时出现的问题及原因,详细解释了操作系统中网卡如何通过分段和校验和减轻CPU负担,并提供了禁用网卡分段和校验和卸载功能的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:

  1. wireshark抓包大于1500字节(如下图所示)
  2. wireshark抓包提示:[incorrect, should be xxxx (maybe caused by "TCP checksum offload"?)]

wireshark抓包大于1500字节和提示checksum offload的原因

原因:
wireshark是在数据包经过cpu,送到网卡处理之前抓取的。现在操作系统上的网卡大多有一个功能,帮助cpu减轻负担,网卡承担了将segment分段和对数据包进行checksum的工作。
wireshark抓取的数据包还需要网卡进行下一步的分段和checksum,所以我们看到数据包有2000多字节。

解决办法:
disable操作系统网卡的large sender offload 和 check sum offload功能。

1. windows操作。在控制面板,网络连接,网卡属性,配置,高级设置,windows 10 截图如下:

wireshark抓包大于1500字节和提示checksum offload的原因

  1. Linux操作。

           查看:ethtool --show-offload  ethX

+++++++++++++++++++++++++++++++++++++++++++++++
[root@syslog-ng ~]# ethtool --show-offload ens33
Features for ens33:
rx-checksumming: off
tx-checksumming: on
tx-checksum-ipv4: off [fixed]
tx-checksum-ip-generic: on
tx-checksum-ipv6: off [fixed]
tx-checksum-fcoe-crc: off [fixed]
tx-checksum-sctp: off [fixed]
scatter-gather: on
tx-scatter-gather: on
tx-scatter-gather-fraglist: off [fixed]
tcp-segmentation-offload: on
tx-tcp-segmentation: on
tx-tcp-ecn-segmentation: off [fixed]
tx-tcp6-segmentation: off [fixed]
tx-tcp-mangleid-segmentation: off
+++++++++++++++++++++++++++++++++++++++++++++++

     配置取消网卡分段功能:  ethtool -K ens33 tso off

+++++++++++++++++++++++++++++++++++++++++++++++
[root@syslog-ng ~]# ethtool -K ens33 tso off
[root@syslog-ng ~]# ethtool --show-offload ens33
Features for ens33:
rx-checksumming: off
tx-checksumming: on
tx-checksum-ipv4: off [fixed]
tx-checksum-ip-generic: on
tx-checksum-ipv6: off [fixed]
tx-checksum-fcoe-crc: off [fixed]
tx-checksum-sctp: off [fixed]
scatter-gather: on
tx-scatter-gather: on
tx-scatter-gather-fraglist: off [fixed]
tcp-segmentation-offload: off
tx-tcp-segmentation: off
tx-tcp-ecn-segmentation: off [fixed]
tx-tcp6-segmentation: off [fixed]
tx-tcp-mangleid-segmentation: off
+++++++++++++++++++++++++++++++++++++++++++++++

参考wireshark wiki : https://wiki.wireshark.org/CaptureSetup/Offloading

转载于:https://blog.51cto.com/jsahz/2061719

WireShark 中为什么会出现 Tcp Checksum Offload?
09-13 5061
其实经常在抓包的时候发现这个问题,今天才好奇的去Google了一下 简单的总结下,就是 wireshark 到的数据包提示Checksum错误,仅仅是因为它截获到的是操作系统胡乱填充的checksum,而千兆网卡在开启Checksum Offload之后,会把这些计算的工作交给网卡去做,网卡最后还是会计算出正确的checksum并且发出去的。 这几天在分析通讯报文的过程中发现WireShark里显示本机发出去的一些数据包Bad Checksum,并提示 maybe caused by “TCP che
Wireshark在专家模式下直接开挂,这14种TCP异常轻松拿捏!
网络技术联盟站
07-12 52
Wireshark是一款全球广泛使用的网络封包分析工具,支持超过1000种协议的解码,覆盖了从链路层到应用层的多种网络场景。它通过捕获网络数据包并以直观的方式展示数据内容,帮助用户深入理解网络通信的过程。专家模式是Wireshark的一项高级功能,通过自动分析数据包,识别潜在的网络异常,并以直观的标签形式展示问题,如错误(Errors)、警告(Warnings)、提示(Notes)常规流量(Chats)。这些信息为网络管理员提供了快速定位故障的起点。
wireshark抓包发现大于1500字节的包
欢迎访问方偲的博客
09-14 9080
问题&现象:嵌入式软件开发,抓包平台->设备,发现有很多数据包大于配置的MTU值1500 “MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据包的大小。 找了如下两篇文章解释两种大于1500字节的数据包的存在,1518字节以上的1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark抓包,偶然发现发送的包居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
WireShark抓包时TCP数据包出现may be caused by ip checksum offload
weixin_34194359的博客
01-17 981
最近用WireShark抓包时发现TCP数据包有报错:IP Checksum Offload,经过查阅资料终于找到了原因 总结下来就是wireshark到的数据包提示Checksum错误,是因为它截获到的是操作系统胡乱填充的checksum,而千兆网卡在开启Checksum Offload之后,会把这些计算的工作交给网卡去做,网卡最后还是会计算出正确的checksum并且发出去的。 也就是以...
WireShark抓包,may be caused by ip checksum offload的解决办法
青草 绿叶 百合
10-09 1万+
今天在用WireShark抓包的时候,发现由本机发出去的包都是黑底红字,点进去看了一下发现都是报“may be caused by ip checksum offload”这样一个错误。   于是在网络上搜了一下关于Checksum offload的东西,找到了如下的解决办法,修改网卡属性:   今天在其他电脑检查了一下,发现公司其他配置一样的电脑,开了这个chec
Wireshark抓包—maybe caused by 'IP chechsum offload'?
weixin_30851867的博客
05-29 615
如题,使用Wireshark抓包,发现IP的校验都是0,这样的数据包看起来很不爽。 这是由于网卡的引起的,网卡设置“IP chechsum offload”为Enable,这样操作系统生成IP数据包是可以不填写checksum,由网卡智能填写。 知道问题所在,关掉该这个设置就行了。 1. Open Device manager (right click "Computer" and cli...
wireshark取分析UDP数据包
智识帮的博客
01-17 6960
在命令行输入ifconfig,查看本机网络接口。 $ ifconfig enp4s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500 ether c8:5b:76:f6:44:d2 txqueuelen 1000 (Ethernet) RX packets 0 bytes 0 (0.0 B) ...
ip checksum offload会导致ip checksum错误吗
最新发布
07-31
从引用内容来看,用户已经查阅了一些资料,特别是引用[1]、[3][4]都提到了wireshark抓包时出现的校验错误与网卡的checksum offload功能有关。 用户可能是在实际使用wireshark时遇到了IP校验错误的提示,想...
Wireshark捕获的outgoing_TCP包的IP_header_checksum_error问题.doc
01-05
3. **Wireshark抓包原理:** - Wireshark通过某种机制(如Pcap库)捕获从操作系统协议栈传出的数据包副本,此时数据包还未经过网卡硬件的校验修正。 - 因此,Wireshark捕获的数据包中包含的是未经修正的校验值,...
Checksum: 0x7259 [incorrect, should be 0x0a75 (maybe caused by "TCP checksum offload"?)]
做好自己
10-30 4313
今天在分析一个TCP DUP ACK的问题时,发现Server端的Wireshark抓包出现下面的错误:        Checksum: 0x7259 [incorrect, should be 0x0a75 (maybe caused by "TCP checksum offload"?)]         在网上查找原因,基本认为是网卡帮助Tcp协议栈处理了校验从而发生的错误。本身校验
wireshark抓包TCP报文超过1500字节
weixin_33962621的博客
11-08 3293
网上的相关答案 1)wireshark会针对报文进行预处理,查看到的报文程度实际上是重组之后的结果 2)网卡对包进行重组,需要从网卡设置disable 参考http://packetbomb.com/how-can-the-packet-size-be-greater-than-the-mtu/ 本文转自fengyuzaitu 51CTO博...
[Linux] Wireshark 到超过(大于) MTU 的封包
wangwuyy
11-30 4248
在 Linux Wireshark 有時候會到比 MTU Size 更大的封包, ex: 2336, 5160 .. etc.這個問題源自於 Linux NIC driver enable GRO (Generic Receive Offload), 這功能會將數個封包組合成一個大封包以增加速度。這時可以用 ethtool 去修改網路卡的參數使用 ethtool -k 查看狀況。 $ eth
UDP - 不分包,若长度超过1500怎么办
木牛的博客
05-18 4499
UDP层 不拆分包,但IP层拆分包。若UDP报文长度,超过1472字节,则发送方的 IP层 分包),会将报文拆分成多个IP报文;接收方的IP层,会将报文进行重组。IP header中有总长度片偏移。即MTU(Maximum Transmission Unit)为1500;在网络层,因为IP包的首部要占用20字节,所以这的MTU为1500-20=1480;在传输层,对于UDP包的首部要占用8字节,所以这的MTU为1480-8=1472;所以,在应用层,你的Data最大长度为1472。
如何解决wireshark抓包大于mtu的问题
mgxcool的专栏
06-11 1万+
在测试的时候,发现有些时候用wireshark到的包中含有很多大于mtu的数据包。于是试了一下,在本机抓包在通信的对端同时抓包,发现本机上到了大于mtu的包,但是对端却没有这种包。可以推断出数据包在最后发出去的时候,还是进行了切分。 从这个现象大概也可以猜测出wireshark抓包的机制,大概是在什么地方取的包。 于是想了想网卡上有没有什么参数可以配置来解决这个问题,最后发现一
关于Tcp包出现CheckSum incorrect的问题
家辉自留地
11-03 2万+
        今天同事在做NEC测试的时候发现两个设备不能正常工作,通过抓包发现包的Tcp层中出现下面的错误:        CheckSum: 0xe719 [Incorrect, should be 0xc2f8 (maybe caused by "TCP checksum offload"?)]        在网上搜寻了很久,各种说法都有。但比较普遍的看法是因为网卡帮助Tcp协议
TCP、UDP数据包大小的限制_udp发送超过1500字节(1),如何才能通过一线互联网公司面试
2401_84254406的博客
04-13 1965
​ MTU最大传输单元,这个最大传输单元实际上链路层协议有着密切的关系,EthernetII帧的结构DMAC+SMAC+Type+Data+CRC由于以太网传输电气方面的限制,每个以太网帧都有最小的大小64Bytes最大不能超过1518Bytes,对于小于或者大于这个限制的以太网帧我们都可以视之为错误的数据帧,一般的以太网转发设备会丢弃这些数据帧。不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。
winpcap 为什么会到超过1500byte的包?
edger2heaven的专栏
01-26 1795
出现这种情况的情况一般是这样的,windows操作系统,自己用程序发送数据包,然后自己再在本机装了一个wireshark或winpcap程序抓包,发现到的本机发送的包中会有超过1500byte的大包,经过本人搜索谷歌,答案是Windows操作系统搞的鬼,操作系统内部有一些优化措施,这些措施是为了提高效率,然而却让本机发送的包根本再还未发送出去的时候就被winpcap取到了,就是说大包还没有进行
Linux 网卡特性配置 ethtool 详解 网卡Offload
热门推荐
chenzhjlf的专栏
02-01 2万+
网络中校验比较 2015年10月14日 本文说明了网卡,IP层,TCP层,UDP层的校验功能,以及异同点。 网卡校验 高级的网卡(e1000e等千M网卡)的接收,发送的校验的计算方法是CRC32。 Refs:http://www.wireshark.org/docs/wsug_html_chunked/ChAdvChecksums.html http://www.in
被经验蒙蔽——wireshark抓包问题
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
12-15 4434
昨天遇到一个网络事情,耗费了不小于4小时的时间才清楚。客观上没有任何问题,问题就在自己的主观上认为应该怎样怎样。两点感触: 1、一个问题如果纠结很长时间,自己尝试了能想到的所有方法都没能找到答案的话,换个思路重新审视问题应该就离真相不远了。如何换思路呢,自己单独继续处理多半无法换思路,找同事商量一下是个不错的选择。同事是否了解业务没有关系,不了解也同样能帮助你换思路。 2、千万不要以为自己熟悉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值