查看小于应有大小的 Wireshark 数据包

【问题标题】:Seeing Wireshark Packets that are smaller than they should be查看小于应有大小的 Wireshark 数据包
【发布时间】:2020-01-26 01:32:51
【问题描述】:

当尝试从wireshark 解析.pcap 文件时,收集TCP 数据包。我正在尝试使用此处列出的信息解析这些文件:https://wiki.wireshark.org/Development/LibpcapFileFormat

正在发送的 TCP 数据包有一个参数状态,即数据包的大小。然而,这个大小通常大于在每个数据包顶部设置的wireshark数据包头。然而,这些数据包的大小远小于 snap len 全局数据包标头(如果我理解这是捕获的最大数据包)。

我没有看到 TCP 的属性吗?我不明白wireshark 捕获的数据包大小是如何小于数据包大小的。

【问题讨论】:

  • 您用来捕获这些数据包的命令/设置是什么?
  • 没什么特别的......只是许可模式......我想知道这是否是我的问题的一部分

标签: tcp wireshark


【解决方案1】:

我猜测您正在捕获特定主机上的数据包(在此示例中为Host Bhttps://wiki.wireshark.org/CaptureSetup/Ethernet#Capture_on_the_machine_you.27re_interested_in),并且从Host B 传输的一些数据包的大小比您预期的要小.假设是这种情况,这是因为 Wireshark 在由于硬件卸载而由控制器添加任何必要的填充之前由捕获机制处理数据包。

如需进一步阅读,请参阅 Jasper Bongertz 的博文,The drawbacks of local packet captures

【讨论】:

    猜你喜欢
    • 2021-09-12
    • 2017-03-31
    • 2013-04-13
    • 2021-06-02
    • 2016-02-16
    • 2016-03-19
    • 2013-01-05
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode