BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #34167同步于 2012/4/12
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

小白关于wireshark抓包的小疑惑,求指导

allen2672
2012/4/12镜像同步9 回复
很肤浅的学习了一下抓包软件wireshark,学着分析了一下抓包结果,疑惑一个接着一个地冒出来,求大牛指导指导~Thx 1.软件色彩设置是默认的,黑色貌似表示的是出现问题的包,但是这个黑色的也太多了吧?实际网络中出问题的包能占这么大的比例么(大概有40%左右)?还是我邮的网的问题? 2.出现问题的包按道理不是应该重新发送么?可是抓包的结果貌似出现问题也仍然可以用。。。TCP3次握手,然后HTTP开始发送数据。。。
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
allen2672机器人#1 · 2012/4/12
补一张图 我抓了100个包,出错的包有41个 【 在 allen2672 的大作中提到: 】 : 很肤浅的学习了一下抓包软件wireshark,学着分析了一下抓包结果,疑惑一个接着一个地冒出来,求大牛指导指导~Thx : 1.软件色彩设置是默认的,黑色貌似表示的是出现问题的包,但是这个黑色的也太多了吧?实际网络中出问题的包能占这么大的比例么(大概有40%左右)?还是我邮的网的问题? : : ................... [upload=1][/upload][upload=1][/upload]
BookMoth机器人#2 · 2012/4/12
占楼,我的回答是: 要不先去Google一下? 【 在 allen2672 (Husty) 的大作中提到: 】 : 很肤浅的学习了一下抓包软件wireshark,学着分析了一下抓包结果,疑惑一个接着一 : 个地冒出来,求大牛指导指导~Thx : 1.软件色彩设置是默认的,黑色貌似表示的是出现问题的包,但是这个黑色的也太多了 : 吧?实际网络中出问题的包能占这么大的比例么(大概有40%左右)?还是我邮的网的问 : 题? : [upload=1][/upload] : ...................
BookMoth机器人#3 · 2012/4/12
然后我分享一下我google的关键词:wireshark checksum error 因为你41个错误包中,40个都是Bad Checksum 然后第一条结果中: http://wiki.wireshark.org/TCP_Checksum_Verification If you capture on a recent Ethernet NIC, you may see many such "checksum errors". This is due to TCP Checksum offloading often being implemented on those NICs and thus, for packets being transmitted by the machine. The checksum will not be calculated until the packet is sent out by the NIC hardware, long long after your capture tool intercepted the packet from the network stack. 大概就是说……checksum的计算经常被放到网卡硬件上实现,所以你从协议栈里抓包的时 候那个checksum就bad了~ 我说对了么? 【 在 BookMoth (书中蠹鱼) 的大作中提到: 】 : 占楼,我的回答是: : 要不先去Google一下?
allen2672机器人#4 · 2012/4/12
嗯,学习了,版主大牛,李菊福啊,Thx~ 自己Google很重要,但是总是忘记。。。努力不做张口党 【 在 BookMoth 的大作中提到: 】 : 然后我分享一下我google的关键词:wireshark checksum error : 因为你41个错误包中,40个都是Bad Checksum : 然后第一条结果中: : ...................
allen2672机器人#5 · 2012/4/12
按照官方网页上的的方法设置之后还是有错。。。Google出的答案和解决方案如下: 传送门 另外一篇博客 原因: 系统让网卡硬件自己计算校验和,而不是交给操作系统的 tcp/ip 协议栈来计算,猜测一下Wireshark的抓包原理,大概是利用Pcap提供的某种机制,把发给网卡的数据给截获了一份,这样一来,如果操作系统协议栈中出来的ip包的checksum尚未被正确设置,Wireshark完全不知道该数据还会被网卡进行修正,于是它就报错了。 解决方法: 显而易见,在网卡设置里面修改一下就ok了。不过代价是占用CPU的资源。(微软的测试表明硬件可以最多节约30%的CPU资源。IBM里AIX的文档则指出:对于PCI接口的千兆网卡来说还不如让400Mhz以上的CPU来计算校验和,而PCI-X的千兆网卡启用此项后可以达到线路速度,从而节约CPU资源。)
a0026机器人#6 · 2012/4/12
【 在 allen2672 的大作中提到: 】 : 很肤浅的学习了一下抓包软件wireshark,学着分析了一下抓包结果,疑惑一个接着一个地冒出来,求大牛指导指导~Thx : 1.软件色彩设置是默认的,黑色貌似表示的是出现问题的包,但是这个黑色的也太多了吧?实际网络中出问题的包能占这么大的比例么(大概有40%左右)?还是我邮的网的问题? : [upload=1][/upload] : ................... 校验和错 小问题啦
UZ机器人#7 · 2012/4/13
话说这个checksum就这么重要么。。。看看也就过了。 【 在 allen2672 (Husty) 的大作中提到: 】 : 按照官方网页上的的方法设置之后还是有错。。。Google出的答案和解决方案如下: : 传送门 : 另外一篇博客 : ...................
ekittying机器人#8 · 2012/5/1
呃,话说我之前用wireshark一直没留意过error的问题…… 如果只是分析协议的话貌似没太大的影响?只是猜测,具体不大清楚……唔 【 在 allen2672 的大作中提到: 】 : 很肤浅的学习了一下抓包软件wireshark,学着分析了一下抓包结果,疑惑一个接着一个地冒出来,求大牛指导指导~Thx : 1.软件色彩设置是默认的,黑色貌似表示的是出现问题的包,但是这个黑色的也太多了吧?实际网络中出问题的包能占这么大的比例么(大概有40%左右)?还是我邮的网的问题? : [upload=1][/upload] : ...................
allen2672机器人#9 · 2012/5/2
是没影响,但是看着一道一道的黑杠有点郁闷,强迫症犯了,不改过来不爽 【 在 ekittying 的大作中提到: 】 : 呃,话说我之前用wireshark一直没留意过error的问题…… : 如果只是分析协议的话貌似没太大的影响?只是猜测,具体不大清楚……唔 :