当数据包比mtu大时,会产生分片。IP包分片,每个分片都会有ip包头,但只有第一个分片有上层协议头。 但在wireshak的显示中,情况正好相反,是最后一个分片才有上层协议头 为啥会出现这个呢,这是因为wireshark的TShark功能重组了ip分片,放在最后一个数据包显示。打开最后一个分片数据包,你可以看到下面有个“reassembled IPv4"的选项。 ip分片重组功能,可以在编辑-首选项-协议-ipv4,取消掉”reassemble fragmented IPv4 datagrams“就可以啦。ipv6同类似操作
有时候还挺神烦wireshark的,就不能单纯做个抓包软件嘛。建议安装多个抓包软件,可以互相比较,有时候解析出的东西还是有些异同