通过禁用TSO解决无法识别大pcap包的问题

使用TSO(TCP Segmentation Offload) 的网卡,可使一个tcp包携带超过1460大小的数据,导致suricata和wireshark识别不正确。如果想suricata和wireshark正确的识别大长度的pcap包,需要禁用TSO在Linux内核中的实现分别是 LSO (Large Send Offload) LRO (Large Receive Offload)禁用的方法: 并在网卡配置里添加如下: 以我的为例: 在windows里禁用,参考 参考:https://meet-unix.org/2017-02-19-tcp-lso.html https://forum.suricata.io/t/cant-detect-amq-message/1203/4

han0x7300's blog
0 Comments