最近遇到一个问题,是说收到了dup的ESP包,这是表象上的两个相同的ESP,那是因为在wireshark的首选项里IPv4,没有选择重组分片包,导致wireshark先做了ESP的解析,如果选择IPv4协议里的重组分片包,会看到下面说有三个分片,而且其中一个有overlap。
所以,这个目前还是未解的谜题,的现象不是ESP重复了,而是第一个分片包重复了。
效果如下,从wireshark里确实可以看到在相同SPI下,收到了两个序号相同的ESP包。
这个时候,如果是收到这种overlap的包,可能会被认定为ESP的replay行为触发保护机制。下面是一个大模型给出的一个解答(主要介绍的是anti-replay的防护机制):
When ESP (Encapsulat