【发布时间】:2015-08-11 01:07:29
【问题描述】:
我正在使用wireshark。我使用wireshark 用FCS 嗅探数据包并保存到硬盘中的pcap 文件中。在运行时它可以知道是否包含 FCS。但我的疑问是,当我使用wireshark打开保存的pcap文件时,它如何知道保存的文件是否被FCS捕获? Wireshark 如何用 FCS 区分文件? pcap 文件中是否有任何变量可以知道这一点?
【问题讨论】:
【发布时间】:2015-08-11 01:07:29
【问题描述】:
当我使用 wireshark 打开保存的 pcap 文件时,它如何知道保存的文件是否使用 FCS 捕获?
它不知道。它猜测,基于:
- 通过以太网发送的实际数据包有多长(例如,IPv4 数据包具有“总长度”字段);
- 以太网数据包有多长(它可能比实际数据包所需的长,因为以太网数据包必须至少有 64 个八位字节长,包括以太网标头、以太网有效负载和 FCS)。
如果以太网数据包看起来比它长 4 个八位字节 FCS,Wireshark 假定这 4 个八位字节是 FCS。
wireshark 如何使用 FCS 区分文件?
某些文件格式始终包含 FCS,某些文件格式从不包含 FCS,而某些文件格式(例如 pcap)可能包含也可能不包含 FCS。处理不同捕获文件格式的代码表明 Wireshark 中实际读取文件的代码。
pcap 文件中是否有任何变量可以知道这一点?
不幸的是,不,没有,这就是 Wireshark 必须猜测的原因。
如果 802.11 存在管理数据包,我们无法知道数据包的确切长度,因为存在可变长度的信息元素。那么Wireshark如何猜测FCS呢?
没有。
对于 802.11,就像以太网一样,某些文件格式始终包含 FCS,某些文件格式从不包含 FCS,而某些文件格式(例如 pcap)可能包含也可能不包含 FCS。处理不同捕获文件格式的代码表明 Wireshark 中实际读取文件的代码。
对于可能包含或不包含 FCS 的文件格式:
【讨论】:
-
感谢您的回复 ...如果 802.11 存在管理数据包,我们无法知道数据包的确切长度,因为存在可变长度的信息元素。在那种情况下,Wireshark 如何猜测 FCS?