Wireshark常见问题汇总

最新推荐文章于 2024-08-06 16:12:04 发布
最新推荐文章于 2024-08-06 16:12:04 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: Wireshark 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xuan_Ray/article/details/113895672
版权

TCP payload 和 TCP segment data

1
TCP payload是这个报文tcp负载的长度。

TCP segment data是数据部分的长度。

就比如这里,server hello的record layer占了58bytes,实际上后面的那部分数据是certificate的。
2
借用 ask.wireshark.org 论坛上的一个回答:

As you probably know TCP is a stream transport, which means it is intended to transport bytes, without any structure applied to them. Many higher layer protocols (e.g., Transport Layer Security) are based on messages, records, PDU based, or whatever it is called in that protocol. It defines a structure to the bytes. Obviously there’s a disconnect here. To make matters worse, the TCP layer itself uses a packet based transport (IP) to get the data stream across the network.

So, from the example, we receive an Ethernet frame, with an IP packet. This packet contains a TCP packet, which contains part of a data stream (ref TCP payload). Fortunately the TCP dissector, together with the higher layer protocol dissector, is able to figure out what part of the TCP payload is relevant for a particular higher layer protocol. This is handed off to the higher layer protocol dissector to be dissected (in this case the TLS “Server Hello”).

But what about the rest of the TCP payload? Well, if there are no other takers, being higher layer protocols satisfied that that blob of data is a valid/complete PDU for them and leave it to the TCP dissector to come up with more data first. Which it can’t because the TCP payload is exhausted. Therefore the rest of the payload data must be a segment (ref TCP segment) of a larger PDU for the higher layer protocol.

You can find that PDU if you follow the TCP streams’ packets where you eventually find a TCP packet which has a Reassembled TCP segments section in it referencing the frame where you found the TLS Server Hello and the remaining TCP segment data. There the whole PDU is reassembled and handed of the higher layer dissector.

For your packet, you should be able to verify this as the TCP payload is 1460 and the TCP segment data (the data remaining) is 1398 that the Server Hello record is 62 bytes long.

As an aside, packets that carry only TCP segment data have a reference added to them to the frame where the reassembly into a complete PDU is done. Unfortunately this reference is not included in TCP packets where part of the payload is dissected. I think that deserves a bug report. It could have avoided this question.

草,英文看的太吃力了,下次再看。

TCP三次握手

2
SACK_PERM是啥?

雷小c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TCP发送数据流程详解
鱼思故渊的专栏
12-31 1万+
B/S通信简述 整个计算机网络的实现体现为协议的实现,TCP/IP协议是Internet的核心协议,HTTP协议是比TCP更高层次的应用层协议。 HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。 浏览器(Web Browse
wireshark抓包问题记录一——TCP segment data
weixin_43656407的博客
10-30 1万+
wireshark抓包问题记录一——TCP segment data一、问题二、解决 一、问题 我在对在对抓包获取的BGP update message进行解析的时候,发现有些时候会有部分缺失。为了修复这个bug,我重新排查BGP update message。发现: 可以看到,这里的TCP segment data有59个字节,看一下对应的报文内容,可以看出,这个应该也是一个BGP update message,但是被“截断”了。 此时,获取每一个BGP update message对我来说都是至关重要
Wireshark 过滤器的使用
Fuzz
02-25 721
符号 例子 = = tcp.port = = 80 过滤出来TCP包含80端口的数据包 != ip.src != 127.0.0.1 ip的原地址不是127.0.0.1过滤出来 > lp.len > 1024 过滤出来ip总长超过1024的ip数据包
协议速查:你要知道的所有TCP协议的一切----实战篇
mukouping82的博客
05-08 5273
一、正常TCP报文解析: 1)正常抓包,Ack=上一个包的Seq+Len(源地址 和 目的地址对调),否则TCP ACKed unseen segment. Ack总是关注不同方向上的流量 2)正常抓包,Seq=上一个包的Seq+Len(源地址 和 目的地址一致),否则TCP Previous segment not captured. Seq总是关注同一方向上的流量 3)大块报文后分解成段后发出去(TCP segment of a reassembled PDU) Wireshark可.
WireShark抓包 图解探索网络请求过程(五层网络模型、三次握手、滑动窗口协议)
lemonGuo的大脑皮层、小脑、海马体、杏仁核.....
09-04 9031
当我们在浏览器输入URL点击确认后,浏览器展示出网页信息。可你曾想过这其中的过程是怎样的?理论性较强的朋友可能知道后续DNS会解析地址,然后TCP/IP三次握手建立起连接,紧接着客户端与服务器开始传输数据。不错,大致过程确实如此,可终究“眼见为实”,此篇文章重点在于亲自实践,通过WireShark抓包来图解探索网络请求的整个过程,通过实践来更透彻的认识网络模型、三次握手、滑动窗口协议等理论知识在实际
wireshark抓包过滤指定的字节数据
AndrewYZWang的博客
12-08 6111
在使用wireshark抓包的时候,文本信息还好,但是遇到二进制的信息时,就需要对指定的字节信息进行过滤来找到你想要找的包了 tcp[20:4]==30:30:30:30 代表的意思是,TCP数据报文中,出掉头部的20字节,之后的4个字节的数据为`30:30:30:30` ...
解决wireshark无法抓包的问题
热门推荐
曾义文的博客
03-20 3万+
最近由于工作需要,准备使用wireshark进行抓包,遂进入wireshark官网下了个wireshark(版本是2.4.5),奈何无法抓包。在网上搜了很多方法,终于解决,在此记录一下。 wireshark程序启动之后,无法抓包,主页面下未显示可捕获的接口,这种情况是因为”WinPcap Packet Driver (NPF) 服务未启动“。 解决方法:以管理员身份运行cmd,...
LTE数传问题分析Wireshark使用指导
07-17
在安装Wireshark时可能会遇到一些常见问题,例如安装WinPcap时出现冲突提示或安装完成后无法在网络适配器中找到网卡等问题。 - **安装WinPcap提示冲突且不可删除** - 解决方法:通常是因为系统中已存在其他版本的...
H3C 设备网络常见问题汇总V5.3.rar
08-18
《H3C网络设备常见问题汇总V5.3》是一份综合性的技术文档,主要针对H3C公司的中低端交换机、路由器等设备常见的网络问题进行了详细的总结和解答。这份资料旨在帮助网络管理员和IT技术人员解决在实际操作过程中可能...
RCNA教学大纲 常见网络问题分析及处理
12-29
如丢包问题可能由硬件故障、网络拥塞、配置错误等原因引起,需要通过网络诊断工具(如ping、traceroute、Wireshark等)进行定位和解决。 学习RCNA的过程中,除了理论知识,实践操作同样重要。例如,模拟网络环境...
网络维护与常见故障的分析与排除PPT学习教案.pptx
10-11
常见的网络故障大致可以分为设备问题、软件问题两大类。设备问题可能涉及网线、网卡、集线器、交换机等,如网线制作不良、设备接触不良、质量问题等。软件问题主要包括驱动程序与操作系统不兼容、资源冲突、协议设置...
200多个不同协议抓包文件 集合汇总
05-14
Wireshark是一款广泛应用的抓包工具,能够解析并显示各种网络协议的详细信息。通过这些抓包文件,我们可以看到数据包的源地址、目的地址、端口号、协议类型、时间戳以及数据包内容等信息。 接下来,我们将讨论一些...
网络协议详解:TCP Part1
weixin_65278827的博客
07-23 1052
TCP的可靠性是通过以下这几点实现的1.TCP会尽量把数据发送给对方,但不保证100%2.TCP的数据如果发送不成功,会给发送端应用层错误通知,这个时候应用层就知道数据丢失了3.TCP可以保证接收方的应用层严格按照发送时的数据顺序接收4.TCP保证数据不会无意损坏(UDP也可以)5.TCP尽可能地在维护网络质量。......
TCP分组、IP分组、MTU、MSS
weixin_47416396的博客
04-11 2555
TCP分组、IP分组、MTU、MSS 什么是MTU 最大传输单元(Maximum Transmission Unit, MTU) ,一般是指数据链路层所能够通过的最大数据包大小(以字节位单位,不包括链路层的首部与尾部),这个一般与通信接口(网卡、串口)等有关。假设两台路由器之间的MTU之间为1500,那么这两个路由器在数据链路层单次传输的数据包大小最大为1500字节,也就是规定了IP数据报的长度。 |帧首部| 帧的数据部分 |帧尾部|
wireshark- 计算数据(tcp payload)长度
qq_28808697的博客
07-13 9576
从IP包可以看出,IP包的长度是42,IP首部长度是20,那么TCP包的长度= IP包的长度 - IP首部长度 = 42- 20 = 22 从TCP包可以看出,TCP首部的长度是20字节, 那么 数据长度 = TCP包长度 - TCP首部长度 = 22 - 20 = 2 ...
TCP包结构解析
caotuo_csdn的博客
05-11 1万+
* TCP包结构 * 以下是通过Wireshark抓到的一个包,依次是物理层、链路层、IP、TCP,下面主要分析TCP层的含义。 Frame 697: 1506 bytes on wire (12048 bits), 1506 bytes captured (12048 bits) on interface 0Ethernet II, Src: Tp-LinkT_78:7b:ef (20:...
wireshark 抓包显示 TCP segment of a reassembled PDU的问题
fuyuande的博客
04-30 5363
测试tacacs客户端和服务器(TCP)通信发现客户端认证报文发出去了,服务器没收到,抓包显示发送的报文携带了TCP segment of a reassembled PDU这个标识,正常的报文应该解析成Authentication的 百思不得其解,看了网上的一篇文章(关于“TCP segment of a reassembled PDU”),说是wireshark解析不出来的原因。仔细想了下 ...
wireshark中“tcp segment of a reassembled pdu”的解释
sanliangGoGoGo
08-11 3767
TCP segment of a reassembled PDU”指TCP层收到上层大块报文后分解成段后发出去。于是有个疑问,TCP层完全可以把大段报文丢给IP层,让IP层完成分段,为什么要在TCP层分呢? 其实这个是由TCP的MSS(Maximum Segment Size,最大报文段长度)决定的,TCP在发起连接的第一个报文的TCP头里通过MSS这个可选项告知对方本端能够接收的最大报文(当然...
Tcpdump 输出内容重定向到 Wireshark
最新发布
这里主要记录一些学到的新知识
08-06 625
在 Linux 系统中使用 Tcpdump 抓包后分析数据包不是很方便。一般的做法是在远程服务器上先使用 tcpdump 抓取数据并写入文件,然后再将文件拷贝到本地工作站上用 Wireshark 分析。还有一种更高效的方法,可以通过 ssh 连接将抓取到的数据实时发送给 Wireshark 进行分析。
wireshark常见语法
10-20
wireshark常见语法包括捕获过滤器语法和显示过滤器语法。 1. 捕获过滤器语法:用于在捕获数据包时过滤出需要的数据包。语法格式为“<Protocol> <Direction> <Host(s)> <Value> < Logical Operations> <Other expression>”,其中Protocol指协议类型,Direction指流量方向,Host(s)指主机地址,Value指数值,Logical Operations指逻辑运算符,Other expression指其他表达式。 2. 显示过滤器语法:用于在已经捕获的数据包中过滤出需要的数据包。语法格式为“<expression>”,其中expression是由一系列过滤条件组成的表达式。常见的过滤条件包括协议类型、源地址、目的地址、端口号等。 在wireshark中,常见的符号包括: 1. 与:&& 或者 and 2. 或:|| 或者 or 3. 非:! 或者 not 4. 等于:== 或者 eq 5. 不等于:!= 或者 ne 6. 大于:> 或者 gt 7. 大于等于:>= 或者 ge 8. 小于:< 或者 lt 9. 小于等于:<= 或者 le 更多关于wireshark的语法和用法,可以参考wireshark官方文档或者相关教程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值