首先說明,wirshark是個軟件,所以自身執行抓包的位置是固定的
CPU發包--->wirshark抓包---->網卡發包------->網卡收報------->wirshark抓包------>cpu收報
如果網卡有tcp分段能力和處理,如果內容大於1518,則CPU還是就會肆無忌憚的發送和接收大包,反正網卡幫着幹了
這樣wirshark自然怎麼抓包都是大包,因爲實質上,wirshark轉的是cpu收發的包,不是網卡收發包
網卡的這個能力很討厭,我們有的時候想讓wireshark抓網卡的包怎麼辦呢,抓實際的小包 1518以下的
那麼根據上面的分析,修改網卡參數,讓其禁用tcp分段能力
linux分段能力禁用
https://mp.csdn.net/postedit/103904254
window下分段能力禁用:
https://mp.csdn.net/postedit/103904416