网络技术----wireshark抓包出现1500以上的大包原因分析

最新推荐文章于 2024-11-26 14:25:29 发布
最新推荐文章于 2024-11-26 14:25:29 发布
阅读量1.9k 收藏 17
点赞数 27
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: wireshark 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangxiaio1/article/details/143507692

网络技术----wireshark抓包出现1500以上的大包原因分析

背景描述

我们在使用抓包工具的过程中,经常发现一些报文长度大于1500长度的报文,但是根据MTU的限制,这是不合理的,这是为什么呢?下面将详细探讨并分析这个问题。
在这里插入图片描述

原因分析

TSO(TCP segment offload,TSO)

抓包工具之所以能抓到大于MTU长度限制的报文,在于当前网卡开启了TSO机制。
在支持 TSO 的网卡上,为了降低报文切片给CPU带来的影响,CPU内核只负责将大包转发给网卡,而网卡负责把这些超大报文拆分成符合物理链路层限制的小包。简单来说就是,原本由内核处理的拆包,交给了网卡来处理,而我们通过 tcpdump 抓包工具抓取的是从内核到网卡路径上的数据包,所以会存在上述问题,如果在交换机处抓包,那么对应的大小为MSS值或小于 MSS 值。

在这里插入图片描述

  • 提到 TSO(TCP Segmentation Offload),就不得不谈到分段卸载技术。随着网络带宽的飞速提升,以太网的速度从最初的 10M 发展到如今的 100G,提升幅度达到了 10000 倍。尽管 CPU 在这些年里也有显著进步,但单核 CPU 的频率增长并不明显。虽然 CPU 核心数目大幅增加,但将网络数据流分配给多个 CPU 核心进行处理仍然面临一定的挑战。此外,随着虚拟化技术的引入,计算机需要处理的任务变得更加复杂,不仅要运行应用程序,还需支持容器和虚拟机,这使得 CPU 的负担更加沉重。

  • 在 TCP 双向通信的情况下,发送或接收 1 bit/s 的数据大约需要 1 Hz 的 CPU 处理能力。当发送和接收各为 10 Gbit/s 时,整体吞吐量达到 20 Gbit/s,相当于 20 GHz 的处理能力,这大约需要 8 个 2.5 GHz 的 CPU 核心。如果完全依赖 CPU 来进行校验、计算、验证、分包和组包,CPU 的消耗将非常可观。为了解决这个问题,越来越多的技术应运而生,以适应不断变化的技术环境,其中网卡能够支持将某些 Linux 内核协议栈的计算任务卸载到物理网卡上,从而减轻 CPU 的负担。

  • TSO 就是将 TCP Segmentation 的工作,卸载(offload)到网卡来完成。有了TSO,操作系统只需要传给硬件网卡一个大的 TCP 数据(当然是包在 Ethernet Header和IP Header内,且不超过64K )。网卡会代替 TCP/IP 协议栈完成 TCP Segmentation。这样,就消除了 TCP Segmentation 带来的 CPU 负担。支持TSO的网卡,仍然会按照TCP/IP协议将网络数据包生成好并发送出去,对于外界系统来说,感受不到TSO的存在。

linux中关闭/开启TSO功能:

可以通过如下命令查看对应网卡此时TSO的状态:

[root@vm-os-centos7 ~]# ethtool -k eth0|grep tcp-segmentation-offload:
tcp-segmentation-offload: off
[root@vm-os-centos7 ~]#


[root@vm-os-centos7 ~]# ethtool -K eth0 tso off
[root@vm-os-centos7 ~]#

其他类似TSO的机制

名称全称作用原理适用协议应用场景
TSOTCP Segmentation Offload减少CPU处理小分段的负担将大数据包交由网卡进行分段,再进行传输,减少CPU负荷TCP高流量传输,适用于服务器、虚拟化环境
UFOUDP Fragmentation Offload提高UDP大包处理效率网卡负责分片和重组,减轻CPU分片/重组负担UDP大量数据传输的多媒体或VoIP应用
GSOGeneric Segmentation Offload适用于多种协议的分片卸载机制将大数据包在发送时交由网卡分段处理TCP、UDP等支持多协议的高负载服务器和虚拟化环境
LROLarge Receive Offload接收端大包处理,减少CPU负担将小包合并为大包后再交由操作系统处理TCP网络流量较高的服务器、虚拟化应用接收端
LSOLarge Send Offload发送端大包处理,减少CPU负担操作系统将大数据流交由网卡分段发送,减轻CPU负荷TCP大流量发送场景,如视频流、虚拟化传输
LROv2Large Receive Offload v2更高效的接收端大包处理基于LRO,优化了分片处理的高效性TCP网络流量密集的高性能计算和虚拟化接收端

https://www.modb.pro/db/50701

wireshark抓包来源

Wireshark捕获的数据包通常是系统发送给网卡之前或网卡接收并传给系统之后的数据包。具体取决于操作系统的网络堆栈和驱动程序的工作原理。简而言之,Wireshark通常是在操作系统的网络协议栈中捕获到数据包,而不是直接从网卡硬件发出或接收到的数据包。

因此:

  • 发送过程:Wireshark通常捕获的是系统发送给网卡的数据,而不是网卡实际发送出去的物理数据包。这意味着在应用了一些硬件卸载(如TSO或GSO)后,Wireshark看到的可能是分段前的“虚拟”大包,而网卡会将它们进一步分片发送。

  • 接收过程:Wireshark通常捕获的是网卡传给操作系统的数据包,因此如果硬件支持并启用了LRO(Large Receive Offload)等技术,Wireshark可能捕获到的是网卡已经重组好的较大数据包,而非网络上实际传输的小分片。

参考:https://www.modb.pro/db/50701

【愚公系列】2023年04月 wireshark系列-数据抓包分析之UDP协议
时光隧道
08-21 5万+
UDP协议是一种无连接的传输层协议,它通常用于快速传输数据的应用程序中。相对于TCP协议,UDP协议没有建立连接的过程,因此传输速度更快,但是可靠性较差。安装发工具,并与Wireshark配合使用,获取UDP数据分析获取的UDP数据
tcpdump命令抓包mtu超过网卡配置
最新发布
anan_ss的博客
03-24 411
网卡MTU配置1500,使用tcpdump命令抓包MTU远远超过1500
TCP Segment Offload(TSO)的实现原理浅析
TCP/IP
07-25 1万+
早上太燥热,突然想起三周前有人跟我交流了TSO的问题,我也描述了其原理,这个原理说来也是特别简单,无非就是靠网卡硬件来分段,计算checksum,从而解放CPU周期。其实只要说一个就够了,既然靠硬件来分段,那么只能由硬件来计算checksum了,因为你根本就不知道硬件的分段细节,所以你也没法在分段前计算好每一个段的checksum....       TSO的原理几乎每个人都知道,事实上它是怎么实
tcpdump抓包长度大于1514的原因
jinauto的博客
10-28 2424
tcpdump抓包中:存在9k以上的,可能开启了TSO,GRO,GSO;存在1514~9k的可能开启了TSO,GRO,GSO或Jumbo Frames;通过通过ifconfig 看MTU或ethtool看TSO,GRO,GSO来判断。如果觉得系统受到长影响,可以用ifconfig或ethtool关闭相应的功能。
wireshark抓包发现大于1500字节的
欢迎访问方偲的博客
09-14 9063
问题&现象:嵌入式软件开发,抓包平台->设备,发现有很多数据大于配置的MTU1500MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据的大小。 找了如下两篇文章解释两种大于1500字节的数据的存在,1518字节以上的和1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark抓包,偶然发现发送的居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
UDP - 不分,若长度超过1500怎么办
迟来大师的博客
06-10 1万+
# UDP协议不分 。但IP层的最大payload长度为1472Bytes。若UDP信息超过这个数值,该如何处理呢? UDP层 不拆分,但IP层拆分。若UDP报文长度,超过1472字节,则IP层,会将报文拆分成多个IP报文。 在链路层,由以太网的物理特性决定了数据帧的长度为(46+18)-(1500+18),其中的18是数据帧的头和尾,也就是说数据帧的内容最大为1500,即MTU(MaximumTransmissionUnit)为1500; 在网络层,因为IP的首部要占用2...
wireshark抓到tcp大于mss的
wuxinyanzi的专栏
09-06 3898
现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark抓包,偶然发现发送的居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接的程序,上传数据,发现wireshark抓包全部小于mss. 关于第一个问题,问过熊大神,告诉我wireshark上抓的不是单个ip。稍微释疑。 继续百度,看到一篇csdn文章说到是网卡在做分段的工作。
Wireshark Limit each packet to 80 bytes
boy_hxm的专栏
09-21 1002
今天在winxp中安装了1.10.7 版本wireshark来做一个试验,试验中我只需要抓TCP和IP,所以要在Wireshark: Capture Options的窗口中把每个数据的大小(就是Limit each packet to)限制为80字节,按ctrl+K调出Wireshark: Capture Options的窗口后发现界面中既然没有Limit each packet to选项,心里想,明明是在Capture Options的窗口中的,难道我记错了?于是我打开另一个1.4.3版本的Wires
Wireshark网络协议分析 - TCP协议
马赛琦的博客
01-30 1976
在阅读本文。
云计算运维---wireshark 工具使用抓包常见小技巧
海渊_haiyuan的博客
04-21 1311
Wireshark 工具使用常见小技巧 一、抓包 拿到一个网络时,我们总是希望它尽可能小。因为操作一个大包相当费时,有时甚至会死机。如果让初学者分析1GB以上的,估计会被打击得信心全无。所以抓包时应该尽量只抓必要的部分。有很多方法可以实现这一点。 1.只抓包头。 一般能抓到的每个(称为“帧”更准确,但是出于表达习惯,本书可能会经常用“”代替“帧”和“分段”)的最大长度为1514字节,启用...
IP协议抓包分析wireshark源文件,括切片
05-27
Wireshark是一款强大的网络分析软件,广泛用于网络故障排查、网络安全分析和协议学习。在本主题中,我们将深入探讨如何使用Wireshark来分析IP协议,特别是涉及IP分片的过程。 首先,让我们理解IP协议的基础知识...
Wireshark数据抓包分析之UDP协议
热门推荐
ChuMeng1999的博客
02-17 1万+
目录预备知识1.UDP协议概述2.什么是UDP协议3.UDP协议的特点实验目的实验环境实验步骤一1.配置TCP&UDP测试工具2.配置服务器端3.配置客户端4.获取UDP数据实验步骤二1.UDP首部格式2.分析UDP数据 预备知识 1.UDP协议概述 UDP是User Datagram Protocol(用户数据协议)的简称,是一种无连接的协议,该协议工作在OSI模型中的第四层(传输层),处于IP协议的上一层。传输层的功能就是建立“端口到端口”的通信,UDP提供面向事务的简单的不可靠信息传送服务
使用tcpdump抓包,tcp报文超出MTU大小的分析
qq_35376839的博客
11-26 335
netperf的udp报文被ip层分片,而iperf的UDP报文直接按小于mtu的形式发送,如图:均没有超MTU问题。在研究netperf/iperf 的性能测试时,发现抓到的TCP报文均显著大于MTU,而UDP则不存在这个问题。该功能导致TCP报文在网卡进行分片操作,而tcpdump在抓包时是通过CPU进行抓包,自然就抓不到分片后的报文。注意:关闭该功能可能会使cpu负载升高,不利于性能,仅做理论分析。经过分析发现这个是因为OS内的网卡开启了tcp的。报文显著超过MTU1500
wireshark 抓包
weixin_30815427的博客
08-23 229
1. 限制单大小可以通过限制每个的尺寸来减少整个抓包文件的大小。旧版本的wireshark在执行菜单栏上的Capture -> Options,在弹出的对话框中找到Limit each packet to,填写合适的单大小(如200,单位是Byte)。新版本的wireshark(2.x以后)的Options对话框变化比较大,限制单的方法是:在弹出的Options对话框中,找...
虚拟靶场抓到巨帧!
m0_59598029的博客
08-26 332
在自己的虚拟化靶场中抓包,发现 wireshark 面板中的 Length 远大于 MTU,而明明在抓包网卡的MTU1500,这是为什么呢?将这个的流量回放到 snort 的接收网卡上,发现 snort 并没有“接收”到这个,这是为什么呢?带着这两个为什么,开始接下来的探索吧!在虚拟环境下,默认支持TSO,所以会抓到巨帧。在网卡支持的情况下,可通过卸载TSO,抓到正常的数据。当然支持解析巨帧,加快了CPU到网卡的处理速度的同时,也增大了单个数据处理的时延,因此snort2.x。
为什么以太网无法接收大于1500字节的数据
farmwang的专栏
03-20 6706
均衡信道利用率和信道状况的折中方法,帧长太小信道利用低,帧长太大,出错重传效率又会降低,折中以后取了个综合最优值1500 简言之: 1、数据越大,越容易出错。 2、出错了就要重发,大的数据重发花费的时间多,从而导致网速下降。 3:则是时延的问题,校验是对整个frame()做的,只有收到整个数据才能做校验,确认收到的bit都正确。如果frame太大,等一个完整的fra
网络性能优化(NAPI)
少帅的天空
01-04 6035
<br /><br />发送路径上的优化<br />TSO (TCP Segmentation Offload)<br />  TSO (TCP Segmentation Offload) 是一种利用网卡分割大数据,减小 CPU 负荷的一种技术,也被叫做 LSO (Large segment offload) ,如果数据的类型只能是 TCP,则被称之为 TSO,如果硬件支持 TSO 功能的话,也需要同时支持硬件的 TCP 校验计算和分散 - 聚集 (Scatter Gather) 功能。<br />  
Wireshark抓包后的报文太大,如何拆分?
agang1986的博客
05-30 2530
*背景:**抓包获取到一个400多兆的网络数据.pcapng文件,使用wireshark软件可以正常打开。使用wireshark自带的导出功能导出后发现生成的.json文件大小为2G多,使用notepad++根本打不开。就想着先把网络数据文件.pcapng拆分成小的数据后再导出为多个.json文件。说明:其中参数-c指定拆分成的文件的大小,单位是KB,如上面是10000KB,即大约10M大小的文件。命令执行后原始文件会被查封成多个文件,文件按序号命名。
Wireshark捕捉到巨型帧的另一种处理方式
RakuLomis的博客
08-07 1139
近期在使用Wireshark进行抓包的时候,发现了许多长度远大于MTU1500字节)的(帧),并且该类只存在于rx(receive)流量,即外部网络到本地设备这个流向中。在朋友们的机器,以及另外一台台式机上进行测试,发现他们那都没有这种现象。这种极大长度、异常存在的,会影响正常的流量分布,从而阻碍流量分析的进行,故亟须处理。结论如下,主机的TCP/IP协议栈配置中,启用了(Receive Segment Coalescing,接收段联合)选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值