Man lernt nie aus – Bad TCP Checksum in Wireshark richtig deuten

Neulich wurde ich bei Wireshark auf eine sehr hohe Anzahl „Bad Checksums“ – also falscher Prüfsummen – aufmerksam und befürchtete bereits das schlimmste.

Hätte ich sofort gegooglet hätte ich mir auch keine Sorgen gemacht:
Bei genauerem Hinsehen merkt mal rel. schnell, dass es sich dabei idr. um Pakete handelt die vom eigenen Host gesendet wurden.

Die fehlerhafte Prüfsumme ist in solchen Fällen idr. durch aktiviertes „TCP Checksum Offloading“ bedingt, d.h. die Prüfsumme wird erst kurz vor dem endgültigen absenden des Pakets von der Netzwerkkarte erzeugt und ist zu dem Zeitpunkt zu dem Wireshark das Paket zu Gesicht bekommt noch gar nicht berechnet.

Will man sich auf diese Daten also verlassen können hilft nur das Abschalten des Checksum Offloading im Treiber der Netzwerkkarte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


*