Pourquoi les paquets injectés avec libpcap sont-ils dupliqués?

Question

J'utilise sharppcap pour envoyer des paquets dans le cadre d'un système de surveillance. Habituellement cela fonctionne bien mais j'ai rencontré le bug le plus étrange sur une machine Vista hébergée et j'aimerais votre aide.

Sur cette machine Vista virtuelle, les paquets injectés sont dupliqués. C'est-à-dire que si j'envoie une requête ping en utilisant libpcap, elle est en quelque sorte dupliquée et j'obtiens deux requêtes sur la machine de destination. Les deux demandes sont presque identiques octet-sage, et la seule différence entre eux est que le champ TTL du deuxième paquet est un moins la valeur du paquet d'origine. En utilisant wireshark, je peux voir que le paquet est dupliqué avant qu'il (et son clone) ne quitte la machine Vista. Le problème se manifeste même lors de l'utilisation d'autres outils pour l'injection de paquets en utilisant libpcap (à savoir PlayCap).

Des idées?

Answer 1

Le champ TTL étant un plus bas sur le paquet clone indique qu'il a traversé un saut de routage de plus que l'autre paquet. Cela semble indiquer que le paquet a traversé la file d'attente des paquets d'entrée de la machine Vista (et est renvoyé) ainsi que directement dans sa file d'attente de sortie.