0

tcpdump を実行すると、最小のシーケンス番号と最大のシーケンス番号の後の () の間に報告される数値は正確には何を意味しますか?

  1. 送信された IP パケットに相関している場合、どうして 1500 の mtu よりも大きくなるのでしょうか?
  2. このフローの受信側では、tcpdump は常に 1448 以下のパケットを検出します。これらのパケットはどこで最適化され、再構築されますか? tcpdump で確認できますか?
  3. この数値と tcp ソケット バッファのサイズの間に何か関係はありますか?

すなわち: 送信側の典型的な tcpdump:

11:47:18.278352 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 3263771:3272459(8688) ack 1 勝利 54 11:47:18.278371 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 3272459:3282595(10136) ack 1 勝利 54 11:47:18.278620 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 3282595:3298523(15928) ack 1 勝利 54 11:47:18.278727 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 3298523:3301419(2896) ack 1 勝利 54 11:47:18.278731 IP 1.1.1.36.41034 > 1.1.1.37.60960: P 3301419:3301719(300) ack 1 勝利 54 11:47:18.777161 IP.3.3.3 > 1.1.1.37.60960: P 3301719:3301723(4) ack 1 win 54 11:47:18.777175 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 3301723:3303171(1448) 攻撃 1 勝 54

そしてレシーバー:

11:47:18.277895 IP 1.1.1.36.41034 > 1.1.1.37.60960: P 990413:990417(4) ack 1 勝利 54 11:47:18.277948 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 990417:991865(1448) ack 1 勝利 54 11:47:18.277953 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 991865:993313(1448) ack 1 勝利 54 11:47:18.277958 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 993313:994761(1448) ack 1 勝利 54 11:47:18.278028 IP 1.1.1.36.41034 > 1.1.1.37.60960: . 994761:996209(1448) ack 1 勝 54

4

1 に答える 1

1

2 つのシーケンス番号を差し引くとわかるように、これがデータの長さです (SYN フラグと FIN フラグがパケットに存在する場合は +1 を考慮した後)。

MTU よりも大きい理由については、ネットワーク カードがジャンボ フレームを送信できるか (1Gbps カードでは非常に正常)、カードが大きなセグメントを受け入れてハードウェアで分割できるか (LSO/GSO または同様の頭字語と呼ばれる) のいずれかです。思い出すこと)。

編集:ウィキペディアのラージ セグメント オフロードを参照してください。

于 2011-10-13T18:24:13.480 に答える