Wiresharkの再構築されたPDUは、TCPセグメントサイズ> MSS?
誰かから提供されたWiresharkレコードを調べて、何かを分析しています。 Wiresharkは、すべてが単一のTLSパケットを転送する3つのTCPセグメントを便利に再構築しました。TLSパケットは1460バイトのMSSに収まらなかったため、ホストは3 TCP =それからのセグメントとwiresharkはこれを検出しました:
[3 Reassembled TCP Segments (5914 bytes): #8(1440), #10(1440), #12(3034)]
[Frame: 8, payload: 0-1439 (1440 bytes)]
[Frame: 10, payload: 1440-2879 (1440 bytes)]
[Frame: 12, payload: 2880-5913 (3034 bytes)]
[Segment count: 3]
[Reassembled TCP length: 5914]
[Reassembled TCP Data: ... ]
これは素晴らしいことですが、私が理解していないのは、3番目のセグメントのサイズがこのTCP接続のMSSを超えている理由です。これは、SYN/SYN + ACKで1460バイトでネゴシエートされました。 。
その後、自分で理由を見つけました。これは、 http://rtoodtoo.net/generic_segmentation_offload_and_wireshark/ で説明されているように ラージレシーブオフロード によるものです。ホストのネットワークインターフェイスカードまたはカーネルは、複数のTCPセグメントを収集し、ユーザースペースに渡す前に単一の大きなセグメントにマージしました。
そのため、トラフィックを単一のTCPセグメント/ IPパケットとして許可されたMTUおよびMSSを超えるものとして記録したときにwiresharkに見えました。