qq_28808697的博客

如上图所示，秒数为 0x5f852c68 =1,602,563,176如下所示，将秒级时间戳转为日期import timeprint(time.strftime('%Y-%m-%d %H:%M:%S', time.localtime(1602563176)))打印结果为 2020-10-13 12:26:16， 与wireshark中显示的时间一致。剩下的微秒时间为 0x080a6f =526959 微妙， 即0.526959s， 与wireshark显示的时间一致。...

最大传输单元（MTU）：指由IP包头和数据部分组成的IP数据包长度。常见的 MTU 设置为 1500。所以ICMP负载长度最大值为MTU（1500字节） - IP首部长度（20字节）-ICMP首部长度（8字节） = 1472 字节当ICMP负载长度超过1472字节，ICMP 负载会被分片。如下图所示：其中，帧354的大小为1480字节，等于ICMP最大负载长度（1472字节） + ICMP首部长度（8字节）对应的数据帧：帧354的长度1514 =以太网帧首部（14字节） +.

1、#strings命令在对象文件或二进制文件中查找可打印的字符串。strings output.txt >> output1.txt其中 output.txt 是包含可打印字符串的pcap文件2、从 output1.txt中查找包含start（忽略大小写）的行，使用uniq命令删除重复的行，然后写入到文件 transmitted.txtgrep -i start output1.txt | uniq >> transmitted.txt3、将transm.

从IP包可以看出，IP包的长度是42，IP首部长度是20，那么TCP包的长度= IP包的长度 - IP首部长度 = 42- 20 = 22从TCP包可以看出，TCP首部的长度是20字节， 那么 数据长度 = TCP包长度 - TCP首部长度 = 22 - 20 = 2...

只显示交换于某一对IP 主机之间的所有IP 数据包。 例如，该过滤器只显示200.1.1.1与192.168.1.1之间的数据包：ip.addr == 200.1.1.1 and ip.addr==200.1.1.1