Wireshark TS | 报文长度为什么小于64?

已于 2024-03-23 18:11:08 修改
阅读量3.1k 收藏 24
点赞数 13
分类专栏: NetShark 文章标签: wireshark 网络 网络协议 tcpip tcpdump
于 2021-09-03 20:45:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/120073569
版权

问题背景

来自于知乎的几个问题,都是有关于 ARP 和 64 字节方面,主要如下:

  1. ARP报文长度为什么可以小于64?

  2. wireshark下抓取arp报文长度不全为42B?

  3. 为什么Wireshark抓到的ARP包长度小于64?


问题分析

以下就上述三个问题简单分析一下,首先是问题 1 和 2 :
BW64-01

为什么可以小于 64 ?
64 字节的说法,我想大家应该都知道是什么样的组成。

14 字节 ( Ethernet II 首部长度 ) + 46 字节 ( 数据字段最小长度要求 ) + 4 字节 ( CRC ) = 64 字节

因此数据字段的最小长度是 46 字节,这意味着如果是 ARP 数据包,则 46 字节的组成如下

28 字节 ( ARP 请求或应答 ) + 18 字节 ( Padding 填充数据 ) = 46 字节


为什么其中一个 ARP 报文长度显示是 42 ?
原因是 Wireshark 的抓包方式(或者说是原理,最后附简图,详细的可以看下官网说明)和位置,Wireshark 抓包位置如果是在本地,那么对于本地产生所发出的数据包,是在进网卡之前所抓取的包,而填充数据以及 CRC 一般是由网卡硬件/驱动程序完成,所以 42 字节的组成并不包含填充数据和 CRC 部分。

14 字节 ( Ethernet II 首部长度 ) + 28 字节 ( ARP 请求或应答 ) = 42 字节


为什么另一个 ARP 报文长度显示是 60 ?
综合以上,就很好理解了,60 是来自对方的 ARP 响应包,包含了填充数据 (对方网卡完成),但不含 CRC 部分 (本地网卡剥离,可以说普通网卡基本都会剥离它,Wireshark 看不到 CRC 部分)。

14 字节 ( Ethernet II 首部长度 ) + 46 字节 ( 数据字段最小长度要求 ) = 60 字节


问题扩展

来自于问题 3 ,56 字节的 ARP 数据包 ??
BW-02

和正常的 60 字节的 ARP 数据包,做下对比
BW-03

之前回答问题大概分析了下,不过提问人并没有进一步反馈抓包环境,也就没有进一步求证了,权当以下是标准答案了 😎


为什么 ARP 报文长度显示是 56 ?
对比看了下源mac,一个apple,一个huawei,应该是两个设备网卡支持 802.1Q 标记与否的区别。apple 支持,所以发出来的 arp 数据包,就包含有 4 字节 的 802.1Q 标记,填充字段为 14 字节。中间过了个路由交换设备,去除 802.1Q 标记,但不会再补充填充字段。所以 56 字节组成是:

14 字节 ( Ethernet II 首部长度 ) + 42 字节 ( 28 字节 ARP 数据包 + 14 字节填充数据 ) = 56 字节


问题总结

当然不仅仅是 ARP 报文,对于以太网帧 64 或者 60 字节长度来说,数据字段最小长度要求始终是 46 字节 ,再根据不同的以太网类型和长度,决定是否需要 Padding 。




附:Wireshark function blocks

BW-04

感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
  • 13
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
为什么抓包工具所抓包最小是54字节而不是60字节
nonolive的专栏
06-25 3212
(转载的)http://ewangsoft.blog.163.com/blog/static/7721558220093200840864/ 根据rfc894的说明,以太网封装IP数据包的最大长度是1500字节,也就是说以太网最大长应该是以太网首部加上1500,再加上7字节的前导同步码和1字节开始定界符,具体就是:7字节前导同步码 + 1字节开始定界符 + 6字节的目的MAC + 6字节
wireshark报文长度小于64
hhhhhyyyyy8的博客
09-05 2953
今天用wireshark抓包,发现有的包长度小于64,比较好奇,不是说网络上传输的包长度范围在64-1518字节之间么?发现wireshark抓取的报文长度最短为54字节,都是TCP的ACK确认,54=14(MAC头)+20(IP头)+20(TCP头)(wireshark报文长度计算不包括MAC尾部4字节的CRC校验字段)。还有些长度是60字节。当长度不足64的时候,MAC层...
wireshark抓包长度和内容与原始报文不同
陈贤鹏的博客
01-09 4264
wireshark抓包长度和内容与原始报文不同,wireshark抓包会自动在原始报文前面添加40个字节数据。 如果有多个报文,则在所有报文前面添加40个字节数据,并且在相隔报文中间添加16个字节数据。...
TCP建立连接、断开连接以及正常报文的报头和报位的大小
weixin_34318272的博客
01-10 126
正常通信报文大小:以太网的头尾:14字节IP首部:20字节TCP首部:20字节尾部4字节校验合计:58 三次握手的报文大小:SYN: 70AYN,ACK:72ACK: 64合计:206字节 关闭连接的过程:FIN, ACK: 56SYN, ACK, 54但是都要提升为64,所以是128字节来自为知笔记(Wiz)...
以太网最小长为什么是64字节?是如何计算的?
qq_57345314的博客
07-06 1755
以太网最小长为64字节的原因
Wireshark分析IP数据报
热门推荐
tobing的博客
04-06 2万+
Wireshark分析IP数据报 1. IP数据报格式 总概 2. IP数据报首部的固定部分各字段 版本【4位】:IPv4或IPv6 首部长度【4位】:单位是32bit(4字节),比如:首部最小长度为20字节,此时为:0101(5);因此可以推测首部最大长度为15*4字节=60字节,而且数据部分永远是4字节的倍数。 区分服务【8位】:旧称服务类型,1998改为Differentiated ...
wireshark抓取OMCI报文使用的omci.lua
06-30
wireshark抓取OMCI报文使用的omci.lua 1.把文件copy至wireshark安装目录(还有一个BinDecHex.lua文件也要复制到该目录),如C:\Program Files (x86)\Wireshark 2.更改init.lua文件,打开文件后,文件最后添加dofile...
IEEE 1588(PTP)报文,可用wireshark解析
09-23
ieee1588 ptp协议以太网报文,可以用wireshark软件打开,适用于学习ieee1588 ptp报文解析,学习各种工业以太网协议可参考本人其他下载文件
为什么wireshark有的地方显示的是乱码报文
12-09
为什么wireshark有的地方显示的是乱码 (https://blog.csdn.net/javajiawei/article/details/84329847)博文中用的几个报文
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
wireshark抓RTMP报文
11-07
wireshark抓RTMP报文
计算机网络-数据链路层-广播信道
weixin_43464150的博客
09-21 1464
局域网的数据链路层 局域网使用广播信道 局域网最主要的特点是:网络为一个单位所拥有,且地理范围和站点数目均有限 优点 1)有广播功能——能方便地从一个站点访问全网 2)便于系统扩展 3)提高系统可靠性、可用性、生存性 按网络拓扑分类 星型网、环形网、总线网 共享信道的两种方法 1)静态划分信道:代价高,不适合局域网,如:频分复用、时分复用、波分复用、码分复用 2)动态媒体接入控制(多点接入):特...
关于以太网MAC46字节的缘由
qq_58822959的博客
08-05 1920
如果数据字段长为46,那么MAC总长就为64字节,欸,此时就不用填充了,那么就是0,这就是填充字段最小为0的由来,所以填充字段范围就是0~46字节;根据王道书的解释数据字段最短长为64-18=46字节,这个18字节,是首部和尾部的全部字节,也就是源地址,目的地址,类型和FCS的字节数即=6+6+2+4=18字节,MAC由数据字段和他们一起组成,根据以太网最短长,就可得MAC最短长为46字节,当数据字段长为45时,MAC总长就为63字节,差一个字节,就得再填充1个字节(更有利于理解)
Wireshark 捕获HTTP包的长度 与 IP包里的Total length有差异的原因
rock4you
03-23 6221
Wireshark不仅可以捕获TCP的包,它还把TCP数据中的HTTP包给分离出来了。 (本来HTTP报文应该作为TCP的数据与TCP报文一起被捕获,现在把TCP头单独提出来了,后面紧跟着它的数据:HTTP包) 但是,如上图,解析IP报文头的时候看见的Total length为121字节,而Wireshark捕获到的HTTP报文长度为135字节,相差了14个字节。始终不明白为什么,以为出错了
以太网最大和最小、MTU
weixin_34112900的博客
11-07 163
文章出处:http://ewangsoft.blog.163.com/blog/static/7721558220093200840864/ 根据rfc894的说明,以太网封装IP数据包的最大长度是1500字节,也就是说以太网最大长应该是以太网首部加上1500,再加上7字节的前导同步码和1字节开始定界符,具体就是:7字节前导同步码 ...
wireshark- 计算数据(tcp payload)长度
qq_28808697的博客
07-13 9483
从IP包可以看出,IP包的长度是42,IP首部长度是20,那么TCP包的长度= IP包的长度 - IP首部长度 = 42- 20 = 22 从TCP包可以看出,TCP首部的长度是20字节, 那么 数据长度 = TCP包长度 - TCP首部长度 = 22 - 20 = 2 ...
Wireshark实验四:UDP
weixin_42093700的博客
09-07 8344
1.从跟踪中选择一个 UDP 数据包。从此数据包中,确定 UDP 标头中有多少字段,并为这些字段命名。 UDP 的标头有 4 个字段,一共 8 byte,各字段分别为: Source Port:源端口号 Destination Port:目的端口号 Length:长度 Checksum:校验和 2. 通过查询 Wireshark 的数据包内容字段中显示的信息,确定每个 UDP 报头字段的长度。 每个部分都是 2 byte,因此 UDP 报头为 8 byte = 64 bit。 3. 长度字段中的值是指的
计算机网络实验
Cwyyyyyyyyyy的博客
12-10 1590
计算机网络实验报告 实验一 验证性实验 Part 1 ipconfig ipconfig 是微软操作系统的计算机上用来控制网络连接的一个命令行工具。它主要用来显示当前 TCP/IP 网络配置值并刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。 在没有参数的情况下使用, ipconfig 显示 Internet 协议版本 4 (IPv4) 以及所有适配器的 IPv6 地址、子网掩码和默认网关。 1.查看自己的计算机网络配置 IP:192.168.0.193 Subnet Mask:
ARP简介
weixin_43842848的博客
03-15 1463
一、ARP协议的基本概念 ARP(Address Resolution Protocol,地址解析协议),其作用是根据IP地址来查找mac地址 二、ARP报文格式 1,ARP报文头的长度固定为28字节 硬件类型:2个字节,用来定义运行ARP的网络类型。以太网的类型为1。 协议类型:2个字节,用来定义使用的协议。例如:对IPv4协议这个字段是0800。ARP可用于任何高层协议 硬件长度:1个字节,用来定义MAC地址的长度,以字节为单位。例如:对于以太网的值为6。 协议长度:...
如何使用Wireshark进行网络报文捕获和分析?
最新发布
05-13
Wireshark是一个强大的网络协议分析工具,可以用于网络故障排查、网络性能分析等。下面是使用Wireshark进行网络报文捕获和分析的步骤: 1. 下载并安装WiresharkWireshark官网(https://www.wireshark.org/)下载最新版本的Wireshark并安装。 2. 打开Wireshark 打开Wireshark,选择一个需要抓取的网络接口(如以太网、无线网卡等)。 3. 开始捕获数据包 点击“开始”按钮开始捕获数据包。在捕获过程中,Wireshark会实时显示抓取到的数据包。 4. 停止捕获数据包 当需要停止捕获数据包时,点击“停止”按钮。 5. 分析数据包 Wireshark可以对捕获到的数据包进行详细的分析。用户可以选择一个数据包进行查看,也可以对多个数据包进行比较和统计分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值