当我在端口 1080 上运行 SOCKS 代理服务器的 Ubuntu 20.04 上使用 tcpdump 捕获数据包时,它们通常大于 1500 字节。我的网络设备的 MTU 为 1500,据我了解,这意味着它们正在重新组装。由于我想分析线路上数据包的时间和大小,因此我想在重新组装它们之前捕获它们,或者根本不重新组装它们。有什么方法可以做到这一点,还是我需要使用完全不同的设置?
当我将 NetfilterQueue 与 iptables 一起使用时,最大数据包大小令人惊讶地变成了 1500。我不太明白这种效果。数据包是否被拆解或根本没有重新组装?
我尝试更改 tcpdump 的各种选项。然而并没有什么效果。
当您查看输出时,您是否可以看到所有网络数据,或者只是更高级别的数据。就像在以太网上一样,您看到 MAC 地址字段了吗?
基于主机的数据包嗅探器始终存在与操作系统允许的访问程度相关的限制。如果您在使用两个不同的软件包时遇到问题,这可能是其中一种情况。
如果您的网络环境允许(我在以太网环境中完成了大部分数据包分析工作)并且您拥有正确的配置,那么使用外部数据包分析器将确保您能够访问最低级别的数据流。
您可能需要为其他人提供全面的详细信息,以进一步帮助您...在您描述的更大问题中,我认为 SOCSK 服务器正在接收的内容有一些方面(TCP 和 TCP 中的段之间存在区别)网络上的数据包),您也许可以禁用重新组装,并查看这如何影响性能等。