关于wire shark抓到以太网包小于64字节讨论,如抓到了54字节、60字节。

最新推荐文章于 2024-09-25 10:17:52 发布
最新推荐文章于 2024-09-25 10:17:52 发布
阅读量6.3k 收藏 26
点赞数 8
分类专栏: 计算机网络 文章标签: 以太网 wireshark 计算机网络 网络 网络通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44503157/article/details/116093534
版权

关于wire shark抓到以太网包小于64字节讨论,如抓到了54字节、60字节。

用wire shark 抓网络包时,经常能看到一些数据包小于64字节。如TCP连接与断链时候就有60字节与54字节的出现。
在这里插入图片描述
在这里插入图片描述

以太网规定,以太网帧数据域部分最小为46字节,也就是以太网帧最小是 6 + 6 + 2 + 46 + 4 = 64。当数据字段的长度小于46字节时,MAC子层就会在数据字段的后面填充以满足数据帧长不小于64 字节。由于填充数据是由MAC子层负责,也就是设备驱动程序。

当数据帧到达网卡时,在物理层上网卡要先去掉前导同步码和帧开始定界符,然后对帧进行CRC检验,如果帧校验和出错,就丢弃此帧。如果校验和正确,就判断帧的目的硬件地址是否符合自己的接收条件(目的地址是自己的物理硬件地址、广播地址、可接收的多播硬件地址等),如果符合,就将帧交给“设备驱动程序”做进一步处理。这时我们抓包的软件才能抓到数据.

因此,抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据,其最大值是6 + 6 + 2 + 1500 = 1514;最小是 6 + 6 + 2 + 46 + 4 = 64。

以上讲了除去4个字节的FCS,因此,抓包时最小就是60字节。

所以抓包抓到60字节是正常的,而且可以看到第二章图中尾部两个字节的填充是mac层做的。符合书上的知识。

【注1】在wireshark中,捕捉到的ARP数据包的长度,很多时候是42bytes,有时候是60bytes。

这个长度决定发送ARP请求端的操作系统的ARP包编码方式
【是否在ARP数据包末端添加18个0x00的padding】

【注2】有的TCP或UDP数据包的长度也可能小于60bytes。

结论:偏向于3

1.wireshark 滤掉了后面padding的0;
但是60字节的那个padding却没有滤。//所以应该不是这个。
2.发送方没有进行填充。
因为前面说的60字节是服务器端发来的,本地客户端可能没有填充。//应该也不是。

3.发送方没来得及填充就已经被抓包了。

  • 54字节是电脑端的网络调试助手发送的,也可能是因为助手发送包给下层是没有填充的,已经被wireshark抓包了。(mac层负责填充到64字节)

#参考
https://blog.csdn.net/ellle_welcome/article/details/111591481
https://blog.csdn.net/shenwansangz/article/details/52858897

怎么这么帅啊
关注
专栏目录
【007】Wireshark之设置捕获数据大小及指定存储路径
专注【PostgreSQL源码学习&研究】
11-05 5874
文章目录1. 概述2. 设置捕获存储路径3. 设置捕获输出格式4. 基于文件大小5. 基于时间条件6. 基于文件大小和时间组合7. 环形缓冲区创建文件 1. 概述 在 Wireshark文件保存 一文中,详细讲解了如何将Wireshark捕获到的数据按照不同的方式存储到指定的目录位置,这属于先捕获数据然后再存储的方式。而本文则介绍如何事先设置Wireshark自动将捕获的数据存储到我们先前设定好的目录文件中,并且赋予它一定的存储规则,比如按照指定大小来创建文件,比如1KB、1MB等;或按照
【愚公系列】2023年04月 wireshark系列-数据分析之ARP协议
热门推荐
时光隧道
08-21 5万+
ARP协议属于TCP/IP协议族中的底层协议,与常见的应用层协议不同,其了解程度不是很广泛,要掌握ARP协议,需要先了解其常用命令,通过宏观的命令来知道其功能,在深层次分析其协议报文。为了更好的理解上述核心原理,本实验的步骤如下:通过使用Netsh和ARP命令来绑定IP和MAC地址。在测试环境使用Wireshark取ARP数据。详细分析ARP请求和ARP应答
wireshark报文小于64
hhhhhyyyyy8的博客
09-05 3096
今天用wireshark,发现有的小于64,比较好奇,不是说网络上传输的度范围在64-1518字节之间么?发现wireshark取的报文度最短为54字节,都是TCP的ACK确认帧,54=14(MAC头)+20(IP头)+20(TCP头)(wireshark报文度计算不括MAC尾部4字节的CRC校验字段)。还有些帧的度是60字节。当度不足64的时候,MAC层...
一个数据大小是多少k_Wireshark数据分析实战:TCP报文段重组
weixin_39779467的博客
12-03 1787
01 引言最近有位热心读者朋友给成哥发来私信,说他现在对IP分片有疑惑。他读过成哥的《Wireshark数据分析三板斧》和《一文秒懂TCPIP实际五层结构》系列文章,直言对自己帮助很大,可以算是成哥的铁粉了。但是他在工作中遇到的IP分片现象和成哥文章中讲的有出入,想和成哥探讨下具体原因。成哥觉得这种精神非常好,尽信书不如无书,就要有自己的独立思考。希望大家也多思考多给成哥提出意见和建议,十分感谢...
如何提高Wireshark效率详解,零基础入门到精通,收藏这篇就够了
最新发布
Python_0011的博客
09-25 995
Wireshark作为一款广泛使用的网络协议分析工具,在网络故障排查、安全分析、性能监控等方面发挥着重要作用。然而,面对海量的网络数据,如何提高Wireshark效率,成为每个网络管理员和分析人员需要掌握的技能。本文将从设置捕获大小、设置过滤器、选择合适的接口等多个方面详细讲解如何提高Wireshark效率。
Wireshark TS | 报文度为什么小于64
7ACE的博客
09-03 3496
Wireshark Troubleshooting 系列 | 报文度为什么小于64
Wireshark分析数据头大小
sw0807的博客
07-17 488
Wireshark 是一个功能强大的网络协议分析工具,它通过截获网络流量中的帧来帮助用户分析和诊断网络问题。每个帧含多个层的数据,其中括数据链路层、网络层以及更高层的数据。Wireshark 可以展示帧中所有这些层的详细信息,并解析每一层的数据。帧头的大小对于理解网络通信中的开销和效率非常重要。所以一个典型的无选项的IPv4 TCP数据的总头部大小为54字节(14 + 20 + 20)。取决于所使用的协议。
wiresharktcp度的疑惑
yyy269954107的专栏
03-21 1万+
问题今天用wireshark调试的时候遇到了一点小困扰,如下图 本来就是两条很普通的192.168.10.90发给195的fin,195回应ack,但是这两个度是挺诡异的,为什么一个是54,一个是60呢,而且查看60度的,发现在TCP协议的数据区有6个字节的00。 那么这6个字节的00又是哪里来的呢?探(sou)寻(suo)答案 首先确定的是这数据区6个字节的00不是应用程序
以太网帧的小于最短度和大于最度的处理?小于46字节和大于1500字节
lengye7的博客
03-16 3484
1、当数据小于64字节的时候,pad是由协议栈填写还是mac芯片填写? 由mac芯片进行填写。 2、当数据大于1500字节(MTU值)的时候,数据分片是由协议栈分片还是mac层分片? 由协议栈分片。如果MAC层收到了大于1500字节的帧数据,而MAC又没开启发送巨帧状态的话,该帧会被丢弃,如果开启了巨帧状态,那么该帧会正常发送。 ...
c语言程序实现应用层分析,TCP协议基础知识及wireshark分析实战
weixin_39991926的博客
05-18 785
TCP相关知识应swoole连接开发调研相关TCP知识并记录。数据封流程 如图,如果我需要发送一条数据给用户,实际的大小肯定是大于你发送的大小,在各个数据层都进行了数据的封,以便你的数据能完整的发给你想要的用户。以太网的数据的负载是1500字节,IP头需要20个字节,TCP的头需要20个字节,实际的数据内容大小则是1460字节,如图: OSI模型术语 应用层:如nginx、swool...
Wireshark
Dingzz_的博客
12-26 1748
数据链路层 一、熟悉 Ethernet 帧结构 1、使用 Wireshark 任意进行,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 答::第一个框里为Packet List Pane(数据列表), 显示捕获到的数据,每个数据含编号,时间戳,源地址,目标地址,协议,度,以及数据信息。 不同协议的数据使用了不同的颜色区分显示;第二个框表示acket Details Pane(数据详细信息), 在数据列表中选择指定数据,在数据详细信息中会显示数据
Wireshark数据分析之互联网协议(IP协议)
ChuMeng1999的博客
02-17 4383
目录预备知识互联网协议地址(IP地址)的由来IP协议介绍IP地址的构成IP数据报实验目的实验环境测试环境实验步骤一1.使用Wireshark取IP数据1.1访问一个网页1.2执行ping命令2.使用Wireshark取IP分片数据实验步骤二1.熟悉IP数据报首部格式2.存活时间TTL3.IP分片4.分析IP数据5.分析IP首部6.分析IP数据中TTL的变化1)分析同网段中数据的TTL值2)分析不同网段中数据的TTL值7.IP分片数据分析1)第200帧数据2)第201帧数据3)第202帧
ARP完整过程及分析
qq_47125775的博客
09-06 1万+
ARP完整过程及分析 1、ARP协议概念 ARP(地址解析协议)是根据IP地址获取物理地址的一个协议。由于OSI将网络分为七层,IP地址在OSI模型的第三层(网络层),MAC地址在第二层(数据链路层),彼此不直接通信。在通过以太网发送IP数据时,需要知道先封装第三层和第二层的报头。但由于发送数据时只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所以需要地址解析协议。 2、ARP应用: ARP是解决同一局域网上的主机或路由器的IP地址和硬件映射关系。 3、ARP工作流程(以Ping命令
wireshark发现大于1500字节
欢迎访问方偲的博客
09-14 8108
问题&现象:嵌入式软件开发,平台->设备,发现有很多数据大于配置的MTU值1500 “MTU”项可以设置最大传输单元,指TCP/UDP协议网络传输中所通过的最大数据的大小。 找了如下两篇文章解释两种大于1500字节的数据的存在,1518字节以上的和1818字节以下的。 下文原创链接 现象: 1、在电脑A上挂一个程序,上传数据的时候,用wireshark,偶然发现发送的居然有上万的。回想起mss,tcp连接不是会协商mss吗? 2、在电脑B上写个tcp连接...
wireshark- 计算数据(tcp payload)
qq_28808697的博客
07-13 9825
从IP可以看出,IP度是42,IP首部度是20,那么TCP度= IP度 - IP首部度 = 42- 20 = 22 从TCP可以看出,TCP首部的度是20字节, 那么 数据度 = TCP度 - TCP首部度 = 22 - 20 = 2 ...
有关wireshark和omnipeek发现差4个字节
网络知识精读
02-23 6149
今天在分析DHCP数据格式的时候,分别用wireshark和omnipeek分别看了下的数据,这个时候发现一个问题,这两个软件所显示的数据度不一样,如下图 Wireshark Omnipeek 故从直接的显示中,两个软件差了4个字节,为了验证,我们首先从IP层的数据看起,因为在IP层的数据中,我们可以知道IP层对应的SDU的length,从而加上二层头部
以太网64字节与46字节
zhuyf0522的博客
01-29 7666
根据CSMA/CD要求,为保证碰撞检测以太网最小帧64字节,其中以太网帧头+帧尾共18字节,所以以太网的data(IP,arp,rarp数据报) 至少为46字节,而arp或者rarp为28字节,为达到46字节需要填充18字节(pad)..   ...
以太网度(学习笔记)转
zhaoneiep的专栏
09-09 6632
<br />socket度问题:  一个没有固定度,以太网限制在46-1500字节,1500就是以太网的MTU,超过这个量,TCP会为IP数据报设置偏移量进行分片传输,现在一般可允许应用层设置8k(NTFS系)的缓冲区,8k的数据由底层分片,而应用看来只是一次发送。windows的缓冲区经验值是4k,Socket本身分为两种,流(TCP)和数据报(UDP),你的问题针对这两种不同使用而结论不一样。甚至还和你是用阻塞、还是非阻塞Socket来编程有关。<br />1、通信度,这个是你自己决定的,没有
Wireshark 捕获HTTP度 与 IP里的Total length有差异的原因
rock4you
03-23 6361
Wireshark不仅可以捕获TCP的,它还把TCP数据中的HTTP给分离出来了。 (本来HTTP报文应该作为TCP的数据与TCP报文一起被捕获,现在把TCP头单独提出来了,后面紧跟着它的数据:HTTP) 但是,如上图,解析IP报文头的时候看见的Total length为121字节,而Wireshark捕获到的HTTP报文总度为135字节,相差了14个字节。始终不明白为什么,以为出错了
wire shark工具怎么看端口号
06-10
要查看端口号,你可以使用Wireshark工具进行以下步骤: 1. 打开Wireshark工具,选择你要捕获网络接口。 2. 在过滤器中输入“tcp.port==端口号”(例如“tcp.port==80”表示查看端口号为80的所有TCP流量),然后点击“Apply”按钮。 3. Wireshark将只显示符合过滤器条件的流量,其中括源IP地址、目标IP地址、源端口号和目标端口号等信息。 4. 如果你想更详细地查看某个数据的端口号,可以在Wireshark的数据列表中选中该数据,然后在“Packet Details”窗口中展开“Transmission Control Protocol”选项卡,其中会显示源端口号和目标端口号等信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值