[晕事]今天做了件晕事44 wireshark 首选项IPv4:Reassemble Fragented IPv4 datagrams

于 2024-09-12 05:57:49 发布
阅读量603 收藏
点赞数 11
分类专栏: 网络 云平台运维 文章标签: wireshark 测试工具 分片 假象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36428903/article/details/142151744
版权
云平台运维 同时被 2 个专栏收录
233 篇文章 14 订阅 ¥59.90 ¥99.00
订阅专栏
网络
194 篇文章 22 订阅 ¥59.90 ¥99.00
订阅专栏

不知不觉,已经来到了晕事系列的第四十四个晕事。今天办的晕事和Wireshark查看网络包相关。说,在Wireshark的编辑-首选项协议里的IPv4协议,有一个参数设置是:Reassemble Fragented IPv4 datagrams。

这个参数的含义是指定Wireshark,在打开pcap文件进行解析的时候要:先解包;还是先组装分片包,再解包。如果是选择了这个选项,就代表,分片重组之后再进行解析IPv4之上的协议。如果没有选,就是不会重组分片,直接进行解析,可能导致第二片不能参与到包的解析过程。
这个时候也有可能有两个假象:
说为什么数据解析的不对?原因可能就是第二片没有被组装进来。
或者遇到说由于网络设备的原因,导致两个相同的分片出现,或者被解析成了相同的ESP报文。这次晕了,就错以为是ESP报文重复了,其实是分片重复了而已。

所以:需要注意这种解析顺序,产生错觉的可能。注意这个参数的设置!
在这里插入图片描述需要注意这种解析顺序,产生错觉的可能。
在这里插入图片描述

mzhan017
关注
专栏目录
订阅专栏
TC8:IPv4_REASSEMBLY_06-10
jasonj333
06-20 282
确保DUT不会重组没有分片包首片的IPv4数据包。
【TCP/IP 笔记】IPv4-03 | 数据报分片 (Fragmentation) 和重组 (Reassembly)
Cody's Blog
02-03 3538
参考 <The TCP/IP Guide> http://tcpipguide.com 文章目录概述MTU (Maximum Transmission Unit) 和数据报碎片多次分片分片过程有关报头字段Total LengthIdentificationMore FlagmentsFragment OffsetCopied FlagDF Flag重组过程 概述 MTU (Maxi...
IPv4_REASSEMBLY_13:IP分片重叠检查
最新发布
qq_27718973的博客
04-08 482
13. 测试仪(TESTER):验证接收到的ICMP回显应答的数据字段设置为"ECU NETWORK VALIDATION TEST"。3. 被测设备(DUT):不发送ICMP回显应答。6. 被测设备(DUT):不发送ICMP回显应答。9. 被测设备(DUT):不发送ICMP回显应答。12. 被测设备(DUT):发送ICMP回显应答。被测设备(DUT):不发送ICMP回显应答。被测设备(DUT):不发送ICMP回显应答。被测设备(DUT):不发送ICMP回显应答。被测设备(DUT):发送ICMP回显应答。
Wireshark数据包分析之IP协议包解读
weixin_34066347的博客
06-06 1704
*此篇博客仅作为个人笔记和学习参考 IP协议包首部格式 IP数据包概况 Internet Protocol Version 4, Src: 192.168.1.104 (192.168.1.104), Dst: 119.75.217.109 (119.75.217.109)#IPv4,源IP地址:192.168.1.104,目标IP地址:119.75.217.109#Version: 4 ...
dpdk Ipv4组包逻辑解析
我要出家当道士
01-20 938
结合DPDK源码和官方文档解析了ipv4组包的具体流程
Wireshark协议分析之IPv4协议
马赛克的博客
03-11 7330
一:前言 如果网络中的所有设备都是使用集线器或者交换机进行连接,那么这个网络称为局域网(LAN)。如果将两个局域网连接起来,那么需要路由器。复杂的网络中,可能包含了成千上万的局域网,而这些局域网是由成千上万的路由器连接起来的。 互联网本身是由无数局域网和路由器组成的一个集合 二:IPv4头(固定长度20字节) 版本(version):IP所使用的版本 首部长度(HeaderLeng...
3.4.3 Wireshark 首选项 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
4. **Wireshark首选项**: Wireshark首选项设置分为多个部分,包括Appearance、Capture、Filter Expressions、Name Resolutions、Protocols和Statistics,以及一个高级选项。 - **Appearance**:这部分设置涉及...
IPv4报头分析,Wireshark抓包网络层分析
weixin_45168115的博客
08-07 6955
IPv4报头 使用Wireshark抓包 IP报文格式: 1、Version(版本号,4bit): 标识IP报头的版本和格式,IPV4(0100)、IPV6(0110)。 2、IHL(报头长度,4bit): 该字段标识整个IP报头的长度,其中数的单位是4字节。以32bit为一个单位(图中的一行),保存IPV4头部中32bit的数量(包括可选项options)。在ipv4中头部被限制为最多15个32位字。一般来说此处的值为0101,标识长度为20字节 3、Service Type(服务类型,8bit): 该
wireshark:7116): Gtk-WARNING **: cannot open display: :0.0解决方法
eebq的博客
10-26 7274
wireshark 不能打开图形界面 wireshark:7116): Gtk-WARNING **: cannot open display: :0.0 以切换身份前的用户执行 xhost + xhost + 是使所有用户都能访问Xserver. xhost + ip使ip上的用户能够访问Xserver.
Wireshark的提示
weixin_30522183的博客
05-05 1452
原文转自:http://blog.sina.com.cn/s/blog_987e00020102wq60.html 最近有不少同开始学习Wireshark,他们遇到的第一个困难就是理解不了主界面上的提示信息,于是跑来问我。问的人多了,我也总结成一篇文章,希望对大家有所帮助。Wireshark的提示可是其最有价值之处,对于初学者来说,如果能理解这些提示所隐含的意义,学起来定能半功倍。 ...
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 9902
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
IP协议首部结构分析
天元喜羊羊的博客
05-22 4883
http://network.51cto.com/art/201009/227966.htm IP协议首部主要字段 IP数据报的格式如图1所示。普通的IP首部长为20个字节(不含选项字段)。 图1 数据报格式 IP目前的协议版本号是4,因此IP有时也称作IPv4。IP协议首部的具体格式内容: ◆首部长度(IHL):首部占32 bit字的数目,包括任何选项。由于它是一个4比特字
wireshark抓包 过滤ipv4_开启抓包之旅:图文解读wireshark过滤器之显示过滤器
weixin_39717026的博客
11-24 1378
往往我们在使用wireshark抓包时,都会采用先抓取全部的数据包或同、同行已经捕获的数据包文后再进行分析,亦或在Wireshark捕获过程中,这样我们就会用到【显示过滤器】,通过语法规则、表达式来过滤所需要的内容进行分析,以达到最终发现问题解决问题的目的。显示过滤器介绍语法与表达式及显示过滤器的用法如:我们需要过滤所有【ARP】的包,在输入框中输入的语法如果不完整或不正确,就会显示为红色,如...
Wireshark 1.8.x 不能显示reassembled tcp bytes的问题
第四纪绿洲的专栏
02-22 701
http://ask.wireshark.org/questions/12298/reassembled-tcp-bytes-cannot-be-displayed 这个问题困扰了很久,终于在上面链接中了解到这实际是个已知问题,而且在分支中已经解决,但目前仍未合并到稳定版本中,所以可以使用开发版本就不会遇到这个问题了。
使用 wireshark 高效,准确地鉴别出入站的恶意流量
Rodney443220的专栏
02-12 9096
转载 http://shayi1983.blog.51cto.com/4681835/1598656 这篇博文实际上是 http://shayi1983.blog.51cto.com/4681835/1558161 的继续,讲解一些实用的数据包分析技巧,帮助安全架构师们迅速,准确地定位那些恶意的数据包; 在分秒必争的安全突发与安全取证工作中,这些高效的方法显得
openssl: 错误SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
热门推荐
mzhan017的博客
11-15 1万+
文章目录错误envoyAWS总结的可能原因 错误 2021-11-15 03:35:51.692][359][debug][connection] [source/extensions/transport_sockets/tls/ssl_socket.cc:225] [C8] TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED [2021-11-15 03:35:51.692][359][debug][co
IP route 错误 RTNETLINK answers: Network is unreachable
mzhan017的博客
11-13 1万+
文章目录错误原因对应的网卡没有起来对应的网关地址不通配置错误strace 结果 错误 [root@sim-11 init.d]# ip route add 10.0.1.0/24 via 172.16.0.1 dev ens256 RTNETLINK answers: Network is unreachable 原因 对应的网卡没有起来 是down的状态 例子:https://blog.csdn.net/weixin_34419321/article/details/92289832 对应的网关地址不通
SIP:408、503错误
mzhan017的博客
11-17 6996
文章目录含义遇到的情况网络将Register消息的IP分片包丢掉一个导致重组不起来 含义 “408” ; Request Timeout 如果从务处理层收到超时错误,就会将这个错误,翻译成408(请求超时)错误。说明在传输层出了问题。 8.1.3.1 Transaction Layer Errors In some cases, the response returned by the transaction layer will not be a SIP message, but rather a
wireshark抓包ipv4
10-06
Wireshark是一款流行的网络协议分析工具,它可以用来抓取和分析网络数据包。当使用Wireshark来抓包时,它可以捕获到网络中传输的各种协议的数据包,包括IPv4IPv4是Internet Protocol version 4的缩写,是目前互联网上使用最广泛的IP协议版本。每个IPv4数据包由头部和数据部分组成。头部包含了源IP地址和目标IP地址,使得数据包能够正确地被发送到目的地。Wireshark可以解析这些数据包的头部并显示源IP地址和目标IP地址等信息。 通过使用Wireshark抓包并查看IPv4数据包,可以更好地了解网络通信的原理,并对数据包的结构和内容进行分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值