原始套接字中的 TCP 数据包 - Centos 6.6

Question

我尝试执行 TCP 流量并在另一端使用 RAW 套接字捕获该数据包。

我将窗口大小设置为 50000 字节。同时以最大速率发送 TCP 流量。我在wireshark中观察到大约每12个数据包（1512字节数据包）发送一个ACK。

在原始套接字中接收数据包时。我希望有 12 个数据包，就好像我进入了 Wireshark（我相信 Wireshark 也使用原始套接字）。但是我很惊讶地看到一个带有发送数据流的数据包。

据我所知，RAW 套接字应该以有线传输的数据包形式接收，而不是作为 TCP 流。

我在下面使用原始套接字来接收端口中的数据包

  rawsd = socket(PF_PACKET, SOCK_RAW, ETH_P_ALL);

这是否与 tcp_wrapper 和操作系统 tcp 配置有关。

Answer 1

我认为wireshark在你的网络接口上使用了一个名为Promiscuous mode的东西，在这种模式下它可以在较低层获取数据包。但如果您使用原始套接字，您只会读取接收缓冲区数据而不是数据包。
以下来自 libpcap(wireshark backend) git 存储库的代码显示它使用带有替代选项的原始套接字。

pcap_activate_snoop(pcap_t *p)
{
int fd;
...
fd = socket(PF_RAW, SOCK_RAW, RAWPROTO_SNOOP);

Answer 2

这是我观察到的答案。

Linux Eth 端口具有设置“tcp-segmentation-offload”的配置。

[root@Kernel317 home]# ethtool -k eth0
Features for eth0:
rx-checksumming: off
tx-checksumming: on
    tx-checksum-ipv4: off [fixed]
    tx-checksum-ip-generic: on
    tx-checksum-ipv6: off [fixed]
    tx-checksum-fcoe-crc: off [fixed]
    tx-checksum-sctp: off [fixed]
scatter-gather: on
    tx-scatter-gather: on
    tx-scatter-gather-fraglist: off [fixed]
tcp-segmentation-offload: on
    tx-tcp-segmentation: on
    tx-tcp-ecn-segmentation: off [fixed]
    tx-tcp6-segmentation: off [fixed]

启用 tcp-segmentation-offload 后，无论配置的 MTU 为何，数据包都会在 eth 端口中作为完整的数据段组合在一起。

   ethtool -K eth1 rx on tx on

在禁用 tcp-segmentation-offload 时，不会在 eth 端口处理数据包，并且会在 RAW 套接字中接收 MTU 大小的数据包。

   ethtool -K eth1 rx off tx off

谢谢