So verschicken Sie Pakete, die größer als 1500 bytes pcap_sendpacket?

Tatsächlich, ich habe zwei Fragen.

Ich fange gefilterten Netzwerkverkehr durch libpcap auf Debian. Dann muss ich replay dieser Verkehr auf Win2k3 server. Manchmal habe ich das capture-Pakete, TCP-und UDP, viel größer als 1500 bytes (MTU-Standardgröße für Ethernet). E. g., 2000+ bytes. Ich habe keine besonderen änderungen an der MTU-Größe auf Linux. Also Frage #1:

Was ist der Grund für diese Pakete viel größer als die Standard-MTU? Jumbo-frames? Dieser Wikipedia-Artikel besagt, dass "Netzwerk-interface-Karten fähig, jumbo-frames erfordern die explizite Konfiguration, um die Verwendung von jumbo-frames", aber ich bin mir nicht bewusst über derartige Konfiguration. Auch ifconfig zeigt mir "MTU:1500". Kann es sein, die irgendwie im Zusammenhang mit "interrupt-combining-Technik" (oder "interrupt-coalescing" wie in dieser Artikel)? Kann ich das unterdrücken solcher Pakete?

Dann Frage #2:

Wie kann ich das senden solcher Pakete durch pcap_sendpacket auf Windows? Ich erhalte die Fehlermeldung "Fehler send: PacketSendPacket fehlgeschlagen" nur für Pakete, die größer als 1500 bytes. Scheint, ich kann nicht die Verwendung von jumbo-frames, da ich das senden der Daten an direkt angeschlossene custom "net tap", wie Sie pci-Karte und ich bin mir nicht sicher, ich kann konfigurieren Sie Ihre Netzwerkkarte. Was sonst? Sollte ich das fragment diese Pakete laut Protokoll Regeln?

EDIT:

Überprüft Fragmentierung von NIC wie Guy Harris vorgeschlagen:

~# ethtool -k eth0
Offload parameters for eth0:
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp-segmentation-offload: off
udp-fragmentation-offload: off
generic-segmentation-offload: off
generic-receive-offload: off
large-receive-offload: off
ntuple-filters: off
receive-hashing: off

Das gleiche für eth1 und br0 - Netzwerk-Brücke zwischen eth0 und eth1 ich bin zu schnüffeln.

Und ich bekomme noch immer große UDP-Pakete.

  • pcap ist wahrscheinlich kleben fragmentierten Datagramme wieder zusammen in einem Stück von der Draht-Pakete für Sie. Überprüfen Sie, wenn Sie können, bitten Sie ihn, Ihnen, ethernet-frames und nicht-transport-Pakete.
  • Ich bin empfangen von ethernet-frames
InformationsquelleAutor Andriy Tylychko | 2012-02-13
  1. 4

    ¿Sie sind mit dem wireshark zu erfassen?

    Es ist wichtig, weil standardmäßig wireshark wieder zusammensetzen fragmentierter ip-Datagramme (und speichert Sie in einer pcap-Datei als zusammengesetzt MTU-higger einzelne Pakete ohne Fragmentierung).
    Deaktivieren:

    Bearbeiten->Einstellungen->Protokolle->ipV4-> und deaktivieren Sie die Option "Zusammenbau fragmentierten IPv4-Datagramme".

    • Ich bin die Erfassung von libpcap (der Kern von Wireshark). Alle Informationen, wie Sie diese deaktivieren, in libpcap?
    • Libpcap noch nicht, diese Funktion durch sich selbst, es sei denn, das Paket, das Sie verwenden, hat dieses patch -> seclists.org/tcpdump/2007/q2/112 können Sie Ihre version von libpcap oder laden Sie die offizielle, anstatt mit dem von der distribution (manchmal Sie gelten seltsamen Flecken...)
    • +1. tnx für die info, ich baute die letzten libpcap aus Quellen, jetzt sehe ich nur eine etwas größere Pakete als die MTU, 1518 bytes. Scheint, denn der Ethernet-trailer. Aber ich kann immer noch nicht senden Sie diese Pakete von pcap_sendpacket. Sollte ich ändern, Sie durch die Entfernung dieser trailer?
    • Es ist ok. Ich bräuchte etwas größeres zu erklären :). Es ist nicht das Ethernet-trailer, es wird nur angezeigt, wenn das Paket kleiner 64 Byte (z.B. ARP) und da die ethernet-frame-Mindest-Größe ist 64, er füllt den rest des Pakets mit dem trailer (aber nur, wenn das Paket kleiner ist). Aber, dies ist offensichtlich nicht Ihr Fall, der 18 zusätzliche bytes, es ist nicht die Polsterung. Die MTU ist es nicht ein ethernet maximal-frame, es ist das DATAGRAMM maximale Größe [packetlife.net/blog/2008/nov/5/mtu-manipulation/].
    • [KOMMT AUS dem LETZTEN KOMMENTAR] So in der framented Pakete, wenn dort ist eine MTU von 1500 (Nutzlast 1460 + 20 TCP-hdr + IP 20 hdr ) Sie müssen plus die 14 bytes Ethernet-header oder 18, wenn Sie VLAN (802.1 Q) in Ihrem ethernet-frames = 1518 bytes. Dies ist der Grund, warum Sie diese Art von Pakete. Das problem der pcap_sendpacket... :), könnte es ein bug in der maximalen Größe Berechnung (ethernet-header-Größe nicht berücksichtigt werden).
    InformationsquelleAutor Jon Ander Ortiz Durántez
  2. 7

    Ihr Netzwerk-adapter ist wohl dabei der TCP-Segmentierung/öffnung-Verschiebung und IP-Fragmentierung/Reassemblierung-Verschiebung, also:

    • UDP-Pakete gesendet, die von Ihrer Maschine, die größer sind, als in einem einzigen Ethernet-Rahmen übergeben werden, um die Netzwerk-adapter, ohne fragmentiert, mit dem Netzwerkadapter zu tun, die Fragmentierung und die sind auch ausgehändigt libpcap, bevor Sie fragmentiert;
    • UDP-Fragmente empfangen werden, die von Ihrem Netzwerk-adapter, die größer sind, als in einem einzigen Ethernet-frame wird wieder durch die Netzwerk-adapter, bevor Sie an den host übergeben, und Sie werden übergeben libpcap, nachdem er wieder zusammengebaut;
    • Stücke von TCP-stream-Daten gesendet werden von Ihrem Rechner zu passen zu groß sind in einem einzigen Ethernet-Rahmen übergeben werden, um die Netzwerk-adapter, mit dem Netzwerk-adapter zu brechen, die Stücke in kleinere TCP-Segmente und die full-chunk übergeben wird libpcap;
    • TCP-Segmente erhielt von Ihrem Netzwerk-adapter werden wieder zusammengesetzt, in größeren Brocken von TCP-Daten und die Stücke werden an den host übergeben und dann zu libpcap;

    also, was libpcap zu sehen ist, sind nicht Ethernet-Pakete und sind nicht beschränkt auf die Ethernet-frame-Größe.

    (I. e., Nikolai Fetissov war wohl richtig; was Sie erhalten, könnte Aussehen Ethernet-frames, aber das ist, weil die Netzwerkadapter und Treiber machen die so Aussehen. Sie sind in der Tat, nicht Ethernet-frames übertragen oder empfangen von Ethernet.)

    Können Sie nur unterdrücken Sie durch ausschalten jeglicher form der Segmentierung/öffnung/Fragmentierung/Reassemblierung getan, auf Ihr Netzwerk-adapter mit der ethtool Befehl; schalten Sie Optionen wie TCP Segementation Offload, UDP Fragmentation Offload, Allgemeinen Segmentierungs-Offload-Unterstützung, Large Receive Offload und Generic Receive Offload.

    Sobald Sie deaktiviert haben solche Optionen, sollten Sie nicht mehr große Pakete, und so sollten Sie in der Lage sein, zu wiederholen, Sie mit kein problem. Es ist keine einfache Weise wiedergeben, die wieder zusammengesetzt werden/un-fragmentiert oder segmentiert Pakete, die Sie aufgenommen haben, so weit - Sie würde haben, um eigenen code schreiben, um fragment davon, und es gibt keine Garantie, Sie würden re-fragmentiert/re, die wiederum in der gleichen Weise, dass Sie wurden ursprünglich fragmentiert/segmentiert, die auf den Draht.

    • +1: thx für die info, überprüfung...
    • siehe bitte post editiert
    InformationsquelleAutor
Schreibe einen Kommentar