今天在分析DHCP数据包格式的时候,分别用wireshark和omnipeek分别看了下抓包的数据,这个时候发现一个问题,这两个抓包软件所显示的数据包长度不一样,如下图
Wireshark
Omnipeek
故从直接抓包的显示中,两个软件差了4个字节,为了验证,我们首先从IP层的数据包看起,因为在IP层的数据包中,我们可以知道IP层对应的SDU的length,从而加上二层头部,就是数据包应该的大小了。比如我们选择DHCP discover的包,在wireshark中标识为618字节,在omnipeek中标识为622字节。下图是其IP层对应的length字段