PDU được tập hợp lại của Wireshark bao gồm kích thước phân đoạn TCP> MSS?

Tôi đang xem xét một bản ghi Wireshark do ai đó cung cấp, để phân tích thứ gì đó cho họ. Wireshark đã thuận tiện lắp ráp lại 3 phân đoạn TCP mà tất cả đều vận chuyển một gói TLS duy nhất. Gói TLS không thể phù hợp với MSS 1460 byte, do đó máy chủ đã tạo ra 3 phân đoạn TCP từ đó và wireshark đã phát hiện ra điều này:

[3 Reassembled TCP Segments (5914 bytes): #8(1440), #10(1440), #12(3034)]
    [Frame: 8, payload: 0-1439 (1440 bytes)]
    [Frame: 10, payload: 1440-2879 (1440 bytes)]
    [Frame: 12, payload: 2880-5913 (3034 bytes)]
    [Segment count: 3]
    [Reassembled TCP length: 5914]
    [Reassembled TCP Data: ... ]

Điều này thật tuyệt, nhưng điều tôi không hiểu là tại sao đoạn thứ 3 có kích thước vượt quá MSS của kết nối TCP này, được đàm phán tại SYN / SYN + ACK ở mức 1460 byte.

Sau đó, tôi đã tìm thấy lý do: Điều này là do giảm tải nhận lớn như được giải thích tại http://rtoodtoo.net/generic_seributionation_offload_and_wireshark/ . Thẻ hoặc nhân giao diện mạng của máy chủ đã thu thập nhiều phân đoạn TCP và hợp nhất nó thành một phân đoạn lớn trước khi chuyển đến không gian người dùng.

Vì vậy, nó xuất hiện để nghe lén khi nó ghi lưu lượng dưới dạng một gói TCP / IP duy nhất vượt quá MTU và MSS được phép.