บางครั้งเมื่อนำไฟล์ pcap มาเปิดดูจะพบว่า Wireshark ฟ้องว่า ETHERNET FRAME CHECK SEQUENCE INCORRECT ทุก packet
Wireshark-FCS-Incorrect-1

ซึ่งสาเหตุเกิดจากระบบปฏิบัติการของอุปกรณ์ที่รัน tcpdump ไม่ทำ checksum ด้วยตัวเอง แต่โยนหน้าที่นี้ให้กับ network processor ที่อยู่ภายในการ์ดแลนแทน ดังนั้นเมื่อรัน tcpdump ออกมาก็จะเป็น checksum เป็น 0 ตลอดเพราะ tcpdump อยู่แค่ส่วนของระบบปฏิบัติการ ไม่ได้เข้าไปเอาข้อมูลที่ออกจากการ์ดแลนจริงๆ

เมื่อเราทราบสาเหตุที่มาที่ไปแล้วจึงไม่ต้องเป็นกังวลก็ได้ เราสามารถปิดการคำนวน checksum ของ Wireshark ได้โดย
1) ไปที่ Edit –> Preferences…
Wireshark-FCS-Incorrect-2

2) ขยาย Protocols เลือก Ethernet และเอาเครื่องหมายถูกที่ Validate the Ethernet checksum if possible ออก แล้วกด OK
Wireshark-FCS-Incorrect-3

3) เมื่อกลับมาที่หน้าเดิม ก็จะเห็นว่าไม่มีขึ้นเตือนอีกครับ
Wireshark-FCS-Incorrect-4

Advertisement