tcpdump 数据包在分片之前被捕获

Question

我有如下设置。

[ Host A ]  <-> [Rtr-A] <-> [Rtr-M] <-> [Rtr-B] <-> [ Host B]


                                                                                                         

我已将 Rtr-A 接口的出接口的 MTU（朝向 'Rtr-M' ）设置为 600 我正在从“主机 A”和“Rtr-A”捕获数据包。 我已将大小为 1000 的数据从“主机 A”发送到“主机 B”。 在查看捕获的数据包时，我可以看到需要分段的 ICMP 数据包来自 Rtr-A 到“主机 A”，之后来自主机 A 的数据包仍然是 1000 字节，而在 Rtr-A 中到达的数据包是较小的块。这意味着我假设在从“主机 A”捕获数据包后，它是分段的。

这是预期的行为吗？有什么方法可以从“主机 A”本身捕获碎片数据包。

~S

Answer 1

是的，当您在本地捕获时，这是正常的预期行为。如果您想查看网络上出现的数据包，则需要使用 TAP、交换机的 SPAN 端口或集线器（如果可以找到）从外部捕获。

我推荐阅读的一篇好文章是 Jasper Bongertz 的 "The drawbacks of local packet captures"，“副作用 #2 -哇，大数据包！还有小数据包！”中提到了这个问题。。您可能还想参考 Wireshark Ethernet capture setup wiki 页面。