Discussion:
Wireshark-Fragen?
(zu alt für eine Antwort)
Christian Dürrhauer
2024-09-18 19:25:44 UTC
Permalink
Hi,

ist wahrscheinlich eine Wireshark-spezifische Frage:
vor ein paar Tagen habe ich mal vorbereitet, mir eine Mitschnittstation
hinzustellen und habe die auch mal laufen lassen und auf den ersten Blick was
merkwürdiges gesehen, was wahrscheinlich eine einfache Erklärung hat:
Ein Ethernet-Frame ist ja 1500B +/- 22B groß, Wireshark hat mir aber auch mit
Protokolltyp TCP in einem laufenden iperf3-Test Pakete mit pi mal Daumen 35kB
Größe angezeigt... ich hätte nicht erwartet, dass die Ethernetframes so
dermaßen untergehen; selbst wenn man die unteren Schichten für diese Pakete
ausklappt ist nicht zu erkennen, dass die Frames weiterhin 1500B groß wären.

Muss man dafür in Wireshark irgendwas aktivieren, umstellen?
--
mit freundlichen Grüßen/with kind regards,

Christian Dürrhauer
Marc Haber
2024-09-19 06:27:51 UTC
Permalink
Post by Christian Dürrhauer
vor ein paar Tagen habe ich mal vorbereitet, mir eine Mitschnittstation
hinzustellen und habe die auch mal laufen lassen und auf den ersten Blick was
Ein Ethernet-Frame ist ja 1500B +/- 22B groß, Wireshark hat mir aber auch mit
Protokolltyp TCP in einem laufenden iperf3-Test Pakete mit pi mal Daumen 35kB
Größe angezeigt... ich hätte nicht erwartet, dass die Ethernetframes so
dermaßen untergehen; selbst wenn man die unteren Schichten für diese Pakete
ausklappt ist nicht zu erkennen, dass die Frames weiterhin 1500B groß wären.
Muss man dafür in Wireshark irgendwas aktivieren, umstellen?
Das ist TCP irgendwas offloading. Dabei werden Teile des Streams
bereits in der Netzwerkkarte reassembled. Das abzuschalten verlagert
Last auf die CPU. Das würde ich nur auf einem Rechner mchen, der _nur_
für die Netzwerktraces da ist.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Christian Dürrhauer
2024-09-20 15:43:44 UTC
Permalink
On Sep 19, 2024 at 8:27:51 AM GMT+2, "Marc Haber"
Post by Marc Haber
<in Wireshark tauchen 35kB große TCP-Pakete auf, ohne dass Wireshark die
einzelnen 1500B großen Ethernetframes anzeigen würde>
Das ist TCP irgendwas offloading. Dabei werden Teile des Streams
bereits in der Netzwerkkarte reassembled. Das abzuschalten verlagert
Last auf die CPU. Das würde ich nur auf einem Rechner mchen, der _nur_
für die Netzwerktraces da ist.
Hallo Marc,

vielen Dank, das leuchtet mir ein, gar nicht dran gedacht.
--
mit freundlichen Grüßen/with kind regards,

Christian Dürrhauer
Loading...