Eu estou olhando para um registro Wireshark fornecido por alguém, para analisar algo para eles. O Wireshark reuniu 3 segmentos TCP que transportaram um único pacote TLS. O pacote TLS não pôde caber no MSS de 1460 bytes, portanto o host fez 3 segmentos TCP e o wireshark detectou isso:
[3 Reassembled TCP Segments (5914 bytes): #8(1440), #10(1440), #12(3034)]
[Frame: 8, payload: 0-1439 (1440 bytes)]
[Frame: 10, payload: 1440-2879 (1440 bytes)]
[Frame: 12, payload: 2880-5913 (3034 bytes)]
[Segment count: 3]
[Reassembled TCP length: 5914]
[Reassembled TCP Data: ... ]
Isso é ótimo, mas o que eu não entendo é por que o 3º segmento tem um tamanho que excede o MSS dessa conexão TCP, que foi negociado no SYN / SYN + ACK em 1460 bytes.
Em seguida, eu mesmo encontrei o motivo: Isso se deve a Grande descarga de recebimento , conforme explicado em link . A placa de interface de rede ou o kernel do host coletou vários segmentos TCP e os uniu em um único segmento grande antes de passar para o espaço do usuário.
Por isso, parecia wireshark quando registrava o tráfego como um único pacote de segmento / IP TCP que excedia o MTU e o MSS permitidos.