[已解决]关于incorrect checksum的问题

testvpn

今天正好一个朋友碰见了这个问题，所以把他抓的包要过来了。


第3个包虽然校验和失败，但是从后面的包可以看出，3次握手还是成功了

而且从后续的包（没贴上来）可以看出，都是本机（192.168.1.110）发出的包校验和失败。

abc.zip (548 Bytes, 下载次数: 21)

2009-11-03 17:38 上传

点击文件名下载附件

ssffzz1

原来wireshark有个TCP解析开关的。前面看错了。错误的回帖删了。



这个个人估计应该是和SSL自身的特性相关的一个东西。怀疑经过SSL的握手阶段经过了特殊的处理。你如果有别的协议分析软件可以测试一下。

zenith518

可以看看，我写的一篇文章。
http://blog.chinaunix.net/u/3764/showart_2085755.html

ssffzz1

LS的回答看过了。有以下几个疑问：

1、如果真是网卡芯片计算的话，哪么为什么有的数据包的校验和是正确的，而只有第三个是错误的呢？？？
2、对于网卡的芯片组计算校验和的说法，仅限于某些高档的服务器网卡，对于市面上常见的PC网卡没有这个功能的。好像也仅限于对IP 头部校验和的计算，对TCP校验和的计算没听过。

同时对你的帖子表示感谢，这的确是一种思路，并且也是有道理的。

同时请LZ确认这个包是不是本机发出来？？？？、

testvpn

23楼说的挺有道理。

又查看了一下包，总结下规律：
1. 校验和失败的包都是有TCP层的包，也就是只有tcp校验和失败，而且都是从本机发出的
2. 从本机发出的所有TCP包中，只有2种包校验和是正确的，一个是3次握手中第一次的那个syn包，一个是本机发出的RST包
3. 跟SSL应该没关系，因为后面也有正常的HTTP流量，TCP的校验和也都失败

按23楼的理解syn和rst的包，第2条也可以理解，因为syn和rst的包基本没有数据，包比较小，计算校验和也不费多少CPU资源。IP层校验和全部由CPU计算也是因为这个？因为只是IP头的校验和，也比较小，估计也占不了多少资源？
那到底是什么东西决定这个包要不要由CPU计算校验和？网卡驱动程序吗？这个由本机发出的包，应该先到CPU再到网卡驱动程序吧？

ssffzz1

哦，是则样啊。哪么你在这个机器的对端抓取本机发出去的包（或者交换机做流量镜像抓取），看看校验和是否正确，如果是正确的话，哪么就是23楼说的问题了。另外说一下网卡的型号，普通网卡还是服务器版本的。

testvpn

这是朋友的PC，不是我们公司的，不能从交换机或者路由器 上抓包。。。不过应该肯定就是23楼所说的原因了

这是一台新PC，千兆网卡，但是是普通PC，应该不是服务器版，不过网卡设置里确实有硬件计算校验和那个选项，默认是开启的，关闭以后，抓包再没看见校验和失败

ssffzz1

哦。我也在我的机器上抓包了。也未发现校验和失败这个问题。

看来23楼所说不错。 补充的是，好像对于小包的校验和还是由软件来计算。

感谢23楼了。

ssffzz1

现在网卡是越来越强大了嘿嘿。

zenith518

现在一般千兆网卡都有这样的功能。
系统可以进行设置，是否需要关闭还是开启。关闭的时候Checksum就由CPU自己计算，开启的时候才Offload到Chip上。
一般安装网卡驱动的时候，都是默认开启的。
关闭的时候，就应该可以避免看到这样的情况。