Wireshark与设备解析字节不一致问题

最新推荐文章于 2023-08-22 07:15:50 发布
最新推荐文章于 2023-08-22 07:15:50 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: 网络安全 原创 文章标签: 网络包 字节数 抓包 最大帧 以太网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShiZhixin/article/details/50526535
版权
本文分析了Wireshark抓包显示的字节数与设备解析字节数不一致的问题,原因在于Wireshark对不满60字节的数据进行填充,而设备仅统计实际数据字节。实验验证表明,Wireshark字节数=设备字节数+填充字节数。以太网帧格式和填充规则对此现象提供了理论依据。
摘要由CSDN通过智能技术生成

本文可以在我的资源里免积分下载:http://download.csdn.net/detail/shizhixin/9406103

一、     问题

对于一个PCAP包,用Wireshark的Conversions统计的包字节数(图1),与设备解析得到的字节数(图2)不一致,设备解析后的字节数比Wireshark的字节数要少,但是包数是相同的。

图1:原始数据包wireshark 会话统计截图

 

图2:设备抓取数据包wireshark 会话统计截图

 

二、     问题的原因

不是丢失包而导致的字节问题,因为包数并没有减少,只是字节减少了。具体原因是用Wireshark抓包抓出来的数据会对不满60字节的数据都做了填充,保证满60字节,如下图:

而设备的流量引擎将这些填充数据数据都去掉了,统计的是真实数据的字节数,所以会少了填充的字节数。即Wireshark抓包的字节数 = 设备解析的字节数 + 有填充的字节数。

三、     实验验证

我们随机找了两个包进行了实验,具体过程如下:

实验一 http06.pcap

 

端口A-B

方向

包数

字节数

52314-80

A>B

4

544

52314-80

B>A

2

1420

52312-80

A>B

3

1275

52312-80

B>A

5

1169

图3:Wireshark统计的字节数

前置设备收到会话统计

端口A-B

方向

包数

字节数

52314-80

</
最低0.47元/天 解锁文章
zstarstone
关注
专栏目录
【Lua】Wireshark解析插件
Hz731555093的博客
05-04 846
【帮助】-【关于Wireshark】-【插件】-右键【打开文件夹】-将Lua脚本放到文件夹即可。
wireshark抓包长度和内容与原始报文不同
陈贤鹏的博客
01-09 4334
wireshark抓包长度和内容与原始报文不同,wireshark抓包会自动在原始报文前面添加40个字节数据。 如果有多个报文,则在所有报文前面添加40个字节数据,并且在相隔报文间添加16个字节数据。...
wireshark抓tcp长度的疑惑
热门推荐
yyy269954107的专栏
03-21 1万+
问题今天用wireshark抓包调试的时候遇到了一点小困扰,如下图 本来就是两条很普通的192.168.10.90发给195的fin,195回应ack,但是这两个的长度是挺诡异的,为什么一个是54,一个是60呢,而且查看60长度的,发现在TCP协议的数据区有6个字节的00。 那么这6个字节的00又是哪里来的呢?探(sou)寻(suo)答案 首先确定的是这数据区6个字节的00不是应用程序
wireshark报文长度小于64
hhhhhyyyyy8的博客
09-05 3054
今天用wireshark抓包,发现有的长度小于64,比较好奇,不是说网络上传输的长度范围在64-1518字节之间么?发现wireshark抓取的报文长度最短为54字节,都是TCP的ACK确认,54=14(MAC头)+20(IP头)+20(TCP头)(wireshark报文长度计算不括MAC尾部4字节的CRC校验字段)。还有些的长度是60字节。当长度不足64的时候,MAC层...
Python基于pypcap、dpkt的抓包、量化工具及抓包长度与wireshark不匹配的问题
ghsshou的专栏
08-04 798
基于python pypcap、dpkt进行抓包、量化和持久化以及dpkt解wireshark一致问题分析
Wireshark抓包字节填充与设备解析差异分析
当对比Wireshark的统计结果与设备解析数据字节数时,可能会发现不一致的情况。如标题和描述提到,这种不一致主要是由于Wireshark为了符合网络协议标准,会对不足最小长的数据进行填充。 例如,一个60字节...
Wireshark 捕获HTTP的长度 与 IP里的Total length有差异的原因
rock4you
03-23 6320
Wireshark不仅可以捕获TCP的,它还把TCP数据的HTTP给分离出来了。 (本来HTTP报文应该作为TCP的数据与TCP报文一起被捕获,现在把TCP头单独提出来了,后面紧跟着它的数据:HTTP) 但是,如上图,解析IP报文头的时候看见的Total length为121字节,而Wireshark捕获到的HTTP报文总长度为135字节,相差了14个字节。始终不明白为什么,以为出错了
被经验蒙蔽——wireshark抓包问题
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
12-15 4104
昨天遇到一个网络事情,耗费了不小于4小时的时间才清楚。客观上没有任何问题问题就在自己的主观上认为应该怎样怎样。两点感触: 1、一个问题如果纠结很长时间,自己尝试了能想到的所有方法都没能找到答案的话,换个思路重新审视问题应该就离真相不远了。如何换思路呢,自己单独继续处理多半无法换思路,找同事商量一下是个不错的选择。同事是否了解业务没有关系,不了解也同样能帮助你换思路。 2、千万不要以为自己熟悉...
5-wireshark网络安全分析——UDP Flooding攻击
网络安全
03-17 4059
UDP Flooding攻击也是基于传输层的UDP协议来实现的,但与TCP协议不同的是,UDP协议是面向无连接的,即客户端和服务端之间直接进行通信,无需建立连接。因此恶意攻击者利用UDP协议面向无连接的特点,发送大量恶意的UDP数据攻击目标网络带宽,造成网络拥堵,并且基于UDP协议的应用层协议的种类也非常多,对于UDP Flooding攻击的防御也相对比较困难。 本次UDP Floodi...
[转]Wireshark 分析ping报文
ddk43521的博客
05-21 335
原文地址:https://blog.csdn.net/u010999240/article/details/52969384 转载于:https://www.cnblogs.com/tubujia/p/10901067.html
wireshark简易抓包分析——ping指定大小长多28Byte
krokodil98的博客
09-21 5252
测试ping时会发现一个现象:在指定ping长度后,实际发出的总长=指定ping长度+28。
有关wireshark和omnipeek抓包发现差4个字节
网络知识精读
02-23 6128
今天在分析DHCP数据格式的时候,分别用wireshark和omnipeek分别看了下抓包数据,这个时候发现一个问题,这两个抓包软件所显示数据长度不一样,如下图 Wireshark Omnipeek 故从直接抓包显示,两个软件差了4个字节,为了验证,我们首先从IP层的数据看起,因为在IP层的数据,我们可以知道IP层对应的SDU的length,从而加上二层头部
Ping洪泛攻击
最新发布
weixin_40191861的博客
08-22 430
(英語:)是一种简单的,攻击者使用ICMP“”(ping数据压倒受害者。如果攻击者的带宽比受害者多(例如,攻击者使用或者更快的光缆,而受害者使用),则最成功。攻击者希望受害者用ICMP“echo-reply”数据进行响应,从而消耗传出带宽和传入带宽。如果目标系统足够慢,那么就有可能消耗足够长的CPU时间,因此用户就会注意到系统和正在运行的软件变得缓慢。
【总结】TCP/IP抓包详解-----含2进制知识巩固
从底层爬
03-30 1852
背景: 1 Byte = 8 Bits 1 KB = 1024 Bytes 1 MB = 1024 KB 1 GB = 1024 MB 在16位的系统(比如8086微机) 1字 (word)= 2字节(byte)= 16(bit) 在32位的系统(比如win32) 1字(word)= 4字节(byte)=32(bit) 在64位的系统(比如win64...
解决wireshark抓包校验和和分片显示异常
weixin_30781433的博客
08-16 1570
问题描述: 在使用wireshark抓取报文时,发现从10.81.2.92发过来的报文绝大部分标记为异常报文(开启IPv4和TCP checksum) 分析如下报文,发现http报文(即tcp payload)的长度远远大于实际的mss大小,如下图为4126 查看该报文的ip长度,为4148,远大于Ethernet的mtu 且tcp的校验和有来自wire...
wireshark TCP抓包大于mss
飞狐的专栏
06-26 2296
现象: 1、在电脑上使用wireshark抓包,发现其部分数据长度很长超过mtu,这不符合tcp协议,tcp发送数据的大小时客户端和服务端协商的,并且有最大长队限制。 2、换个电脑抓包数据长度在正常范围。 想起前段时间测试网卡的时候,网卡有些地方可以配置。然后在电脑A网卡配置处找到一处" 大量发送卸载(IPv4)",发现开关这个选项,会完全影响wireshark抓到的tcp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值