现象:
1、在电脑A上挂一个程序，上传数据的时候,用wireshark抓包,偶然发现发送的包居然有上万的。回想起mss，tcp连接不是会协商mss吗？
2、在电脑B上写个tcp连接的程序，上传数据，发现wireshark抓包全部小于mss.


关于第一个问题，问过熊大神，告诉我wireshark上抓的不是单个ip包。稍微释疑。
继续百度，看到一篇csdn文章说到是网卡在做分段的工作。提到几个关键词:LSO, TSO, 卸载。


想起前段时间测试网卡的时候，网卡有些地方可以配置。然后在电脑A网卡配置处找到一处" 大量发送卸载(IPv4)",发现开关这个选项，会完全影响wireshark抓到的tcp包的大小。


结论:
A、现象1产生的原因，在于网卡做分段的工作，wireshark在网卡分段之前就抓包了。
B、电脑A与B表现不同，在于LSO的运行。LSO的运行取决与3点:
1、操作系统支持。(电脑B的系统不支持，所以无论怎么配置也没用)
2、网卡支持。
3、配置网卡，打开选项。

	

       不知道大家有没有注意到，wireshark抓取tcp报文的时候，大部分时候的报文是如下图所示的，其中带了Seq，Win和Len字段，分别对应了报文序列号、滑动窗口和tcp报文长度。
    有时候，也会在报文中看到TSval 和 TSecr 这两个参数，如下图所示。
     那么这个参数来源于哪里呢？又有什么作用呢？
1、原理
     时间戳(TCP Timestamps Option，TSopt)来源于TCP报文头部的Option选项。这个选项在 TCP 头部的位置如下所示。
      比如下图，我们抓包的报文中的时间戳选项在option中。
       TCP的时间戳由四部分构成：类别(kind)、长度(Length)、发送方时间戳(TS value)、回显时间戳(TS Echo Reply)。时间戳选项类别(kind)的值等于 8，用来与其它类型的选项区分。长度(length)等于 10。两个时间戳相关的选项都是 4 字节。
     是否使用时间戳选项是在三次握手里面的 SYN 报文里面确定的。那么这个时间戳选项有什么作用吗？主要有两个作用：
两端往返时延测量(RTT)
序列号回绕(PAWS) 
2、RTT原理
    由于在真实的网络中，各种丢包情况普遍存在，因此有一套超时重传机制，也就是我们以前说的 TCP中的几种定时器 《聊聊TCP中的几个定时器》，那么超时重传的时间如何设置呢？
      为了动态地设置，TCP引入了RTT(Round Trip Time)，也就是一个数据包从发出去到回来的时间。这样发送端就大约知道需要多少的时间，从而可以方便地设置Timeout——RTO(Retransmission TimeOut)，以让我们的重传机制更高效。
      但是实际上RTT的计算比较复杂，如下图a所示，发生了重传，如果按照第一次的报文和ACK计算出来的RTT就比较大了，不合理。如图b所示，重传后收到了原始报文的ACK，这样计算出来的RTT偏小，也不合理。
       因此，在启用 Timestamps 选项以后，因为 ACK 包里包含了 TSval 和 TSecr，这样无论是正常确认包，还是重传确认包，都可以通过这两个值计算出 RTT。关于RTO计算算法，资料也比较多了。比如RFC793中定义的经典算法是这样的:
   比如目前Linux下使用的RTO计算算法为Jacobson / Karels 算法：
3、序列号回绕PAWS
    TCP 的序列号用 32bit 来表示，因此在 2^32 字节的数据传输后序列号就会溢出回绕。TCP 的窗口经过窗口缩放可以最高到 2^30，也就是1G，在高速网络中，序列号在很短的时间内就会被重复使用。
      如果有 Timestamps 的存在，内核会维护一个为每个连接维护一个 ts_recent 值，记录最后一次通信的的 timestamps 值，当收到的数据包中 timestamps 值小于 ts_recent 值，就会丢弃掉这个数据包。等收到的数据包的timestamps 值大于 ts_recent，这个包可以被正常接收。
       实际上timestamps 值是一个单调递增的值，这个选项不要求两台主机进行时钟同步。两端 timestamps 值增加的间隔也可能步调不一致，比如一条主机以每 1ms 加一的方式递增，另外一条主机可以以每 200ms 加一的方式递增。此外，timestamps 是一个双向的选项，如果只要有一方不开启，双方都将停用。    在Linux下可以通过下面方式开启或关闭timestamp功能。
//0表示关闭，1表示打开功能cat /proc/sys/net/ipv4/tcp_timestamps

1 最近分析rtmp数据包的时候，用tcpdump抓到一段数据包，有一部分理解不了。


tcp连接的时候，协商的mss是1460,为什么这里传输的时候是2920字节？

2 原因分析，tcpdump工作在数据链路层，linux系统在设置了tso/iso的时候，通过网卡进行分tcp数据/组合tcp数据包以提高效率。

对于网卡组装tcp数据包的情况。tcpdump是抓不到的。因此这里len=2920的原因就是服务器开了iso选项。

3 为什么mss要小于mtu?

mtu是一个ip数据包的最大传输大小。mss是tcp一包数据大小。如果mss大于mtu,一个tcp数据包会被分成两个ip数据包，这样一来，丢失/内部乱序，都会导致数据重传，这样相当于把可靠性交给了网络层，也就是ip数据包。这样效率低。因此我们mss协商为mtu - 40（tcp常见包头长度）,这样一来，tcp的可靠传输全部交给传输层来控制实现。可靠性和效率就提高了

在使用ModBus Slave模拟从站的时候，发现Wireshark怎么都抓取不到包，原因是从站主站都在一台pc上，包不经过网卡，所有抓取不到。



用管理员打开cmd，输入route add  本机ip mask 255.255.255.255  网关ip