网络技术----wireshark抓包出现1500以上的大包原因分析

背景描述

我们在使用抓包工具的过程中,经常发现一些报文长度大于1500长度的报文,但是根据MTU的限制,这是不合理的,这是为什么呢?下面将详细探讨并分析这个问题。
在这里插入图片描述

原因分析

TSO(TCP segment offload,TSO)

抓包工具之所以能抓到大于MTU长度限制的报文,在于当前网卡开启了TSO机制。
在支持 TSO 的网卡上,为了降低报文切片给CPU带来的影响,CPU内核只负责将大包转发给网卡,而网卡负责把这些超大报文拆分成符合物理链路层限制的小包。简单来说就是,原本由内核处理的拆包,交给了网卡来处理,而我们通过 tcpdump 抓包工具抓取的是从内核到网卡路径上的数据包,所以会存在上述问题,如果在交换机处抓包,那么对应的大小为MSS值或小于 MSS 值。

在这里插入图片描述

  • 提到 TSO(TCP Segmentation Offload),就不得不谈到分段卸载技术。随着网络带宽的飞速提升,以太网的速度从最初的 10M 发展到如今的 100G,提升幅度达到了 10000 倍。尽管 CPU 在这些年里也有显著进步,但单核 CPU 的频率增长并不明显。虽然 CPU 核心数目大幅增加,但将网络数据流分配给多个 CPU 核心进行处理仍然面临一定的挑战。此外,随着虚拟化技术的引入,计算机需要处理的任务变得更加复杂,不仅要运行应用程序,还需支持容器和虚拟机,这使得 CPU 的负担更加沉重。

  • 在 TCP 双向通信的情况下,发送或接收 1 bit/s 的数据大约需要 1 Hz 的 CPU 处理能力。当发送和接收各为 10 Gbit/s 时,整体吞吐量达到 20 Gbit/s,相当于 20 GHz 的处理能力,这大约需要 8 个 2.5 GHz 的 CPU 核心。如果完全依赖 CPU 来进行校验、计算、验证、分包和组包,CPU 的消耗将非常可观。为了解决这个问题,越来越多的技术应运而生,以适应不断变化的技术环境,其中网卡能够支持将某些 Linux 内核协议栈的计算任务卸载到物理网卡上,从而减轻 CPU 的负担。

  • TSO 就是将 TCP Segmentation 的工作,卸载(offload)到网卡来完成。有了TSO,操作系统只需要传给硬件网卡一个大的 TCP 数据(当然是包在 Ethernet Header和IP Header内,且不超过64K )。网卡会代替 TCP/IP 协议栈完成 TCP Segmentation。这样,就消除了 TCP Segmentation 带来的 CPU 负担。支持TSO的网卡,仍然会按照TCP/IP协议将网络数据包生成好并发送出去,对于外界系统来说,感受不到TSO的存在。

linux中关闭/开启TSO功能:

可以通过如下命令查看对应网卡此时TSO的状态:

[root@vm-os-centos7 ~]# ethtool -k eth0|grep tcp-segmentation-offload:
tcp-segmentation-offload: off
[root@vm-os-centos7 ~]#


[root@vm-os-centos7 ~]# ethtool -K eth0 tso off
[root@vm-os-centos7 ~]#

其他类似TSO的机制

名称全称作用原理适用协议应用场景
TSOTCP Segmentation Offload减少CPU处理小分段的负担将大数据包交由网卡进行分段,再进行传输,减少CPU负荷TCP高流量传输,适用于服务器、虚拟化环境
UFOUDP Fragmentation Offload提高UDP大包处理效率网卡负责分片和重组,减轻CPU分片/重组负担UDP大量数据传输的多媒体或VoIP应用
GSOGeneric Segmentation Offload适用于多种协议的分片卸载机制将大数据包在发送时交由网卡分段处理TCP、UDP等支持多协议的高负载服务器和虚拟化环境
LROLarge Receive Offload接收端大包处理,减少CPU负担将小包合并为大包后再交由操作系统处理TCP网络流量较高的服务器、虚拟化应用接收端
LSOLarge Send Offload发送端大包处理,减少CPU负担操作系统将大数据流交由网卡分段发送,减轻CPU负荷TCP大流量发送场景,如视频流、虚拟化传输
LROv2Large Receive Offload v2更高效的接收端大包处理基于LRO,优化了分片处理的高效性TCP网络流量密集的高性能计算和虚拟化接收端

https://www.modb.pro/db/50701

wireshark抓包来源

Wireshark捕获的数据包通常是系统发送给网卡之前或网卡接收并传给系统之后的数据包。具体取决于操作系统的网络堆栈和驱动程序的工作原理。简而言之,Wireshark通常是在操作系统的网络协议栈中捕获到数据包,而不是直接从网卡硬件发出或接收到的数据包。

因此:

  • 发送过程:Wireshark通常捕获的是系统发送给网卡的数据,而不是网卡实际发送出去的物理数据包。这意味着在应用了一些硬件卸载(如TSO或GSO)后,Wireshark看到的可能是分段前的“虚拟”大包,而网卡会将它们进一步分片发送。

  • 接收过程:Wireshark通常捕获的是网卡传给操作系统的数据包,因此如果硬件支持并启用了LRO(Large Receive Offload)等技术,Wireshark可能捕获到的是网卡已经重组好的较大数据包,而非网络上实际传输的小分片。

参考:https://www.modb.pro/db/50701

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值