Wireshark TS | 报文长度为什么小于64?

已于 2024-07-20 10:54:41 修改
阅读量3.7k 收藏 26
点赞数 15
分类专栏: NetShark 文章标签: wireshark 网络 网络协议 tcpip tcpdump
于 2021-09-03 20:45:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/120073569
版权

问题背景

来自于知乎的几个问题,都是有关于 ARP 和 64 字节方面,主要如下:

  1. ARP报文长度为什么可以小于64?

  2. wireshark下抓取arp报文长度不全为42B?

  3. 为什么Wireshark抓到的ARP包长度小于64?


问题分析

以下就上述三个问题简单分析一下,首先是问题 1 和 2 :
BW64-01

为什么可以小于 64 ?
64 字节的说法,我想大家应该都知道是什么样的组成。

14 字节 ( Ethernet II 首部长度 ) + 46 字节 ( 数据字段最小长度要求 ) + 4 字节 ( CRC ) = 64 字节

因此数据字段的最小长度是 46 字节,这意味着如果是 ARP 数据包,则 46 字节的组成如下

28 字节 ( ARP 请求或应答 ) + 18 字节 ( Padding 填充数据 ) = 46 字节


为什么其中一个 ARP 报文长度显示是 42 ?
原因是 Wireshark 的抓包方式(或者说是原理,最后附简图,详细的可以看下官网说明)和位置,Wireshark 抓包位置如果是在本地,那么对于本地产生所发出的数据包,是在进网卡之前所抓取的包,而填充数据以及 CRC 一般是由网卡硬件/驱动程序完成,所以 42 字节的组成并不包含填充数据和 CRC 部分。

14 字节 ( Ethernet II 首部长度 ) + 28 字节 ( ARP 请求或应答 ) = 42 字节


为什么另一个 ARP 报文长度显示是 60 ?
综合以上,就很好理解了,60 是来自对方的 ARP 响应包,包含了填充数据 (对方网卡完成),但不含 CRC 部分 (本地网卡剥离,可以说普通网卡基本都会剥离它,Wireshark 看不到 CRC 部分)。

14 字节 ( Ethernet II 首部长度 ) + 46 字节 ( 数据字段最小长度要求 ) = 60 字节


问题扩展

来自于问题 3 ,56 字节的 ARP 数据包 ??
BW-02

和正常的 60 字节的 ARP 数据包,做下对比
BW-03

之前回答问题大概分析了下,不过提问人并没有进一步反馈抓包环境,也就没有进一步求证了,权当以下是标准答案了 😎


为什么 ARP 报文长度显示是 56 ?
对比看了下源mac,一个apple,一个huawei,应该是两个设备网卡支持 802.1Q 标记与否的区别。apple 支持,所以发出来的 arp 数据包,就包含有 4 字节 的 802.1Q 标记,填充字段为 14 字节。中间过了个路由交换设备,去除 802.1Q 标记,但不会再补充填充字段。所以 56 字节组成是:

14 字节 ( Ethernet II 首部长度 ) + 42 字节 ( 28 字节 ARP 数据包 + 14 字节填充数据 ) = 56 字节


问题总结

当然不仅仅是 ARP 报文,对于以太网帧 64 或者 60 字节长度来说,数据字段最小长度要求始终是 46 字节 ,再根据不同的以太网类型和长度,决定是否需要 Padding 。




附:Wireshark function blocks

BW-04

感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
报文格式-PCAP文件格式详解
村中少年的专栏
12-17 8782
分析pcap文件格式,在wireshark中显示了pcap文件头的一些信息
iOS小技能:截获分析网络数据包( tcpdumpWireshark的原理和基本使用 、使用Charles联调测试)
专注于计算机研发知识和资讯分享
08-30 2076
抓取http/https的,建议使用Charles;如果是socket,推荐使用Wireshark
wireshark报文长度小于64
hhhhhyyyyy8的博客
09-05 3208
今天用wireshark抓包,发现有的包长度小于64,比较好奇,不是说网络上传输的包长度范围在64-1518字节之间么?发现wireshark抓取的报文长度最短为54字节,都是TCP的ACK确认,54=14(MAC头)+20(IP头)+20(TCP头)(wireshark报文长度计算不包括MAC尾部4字节的CRC校验字段)。还有些长度是60字节。当长度不足64的时候,MAC层...
IPv4和IPv6比特转发率和包转发率的关系
奋斗中拥有
08-15 4351
 IPv4和IPv6比特转发率和包转发率的关系目录:一、bps和pps如何换算?二、为什么以太网最短是64字节?三、IPv6 的最短包长是多少?四、Spirent上为什么设置IPv6最短长度为76字节,Spirent仪器上能否发送64字节的IPv6报文?五、IPv6 包的pps如何计算比价合理?一、bps和pps如何换算?比特转发率:bps(bits
wireshark的过滤命令
最新发布
2401_86687782的博客
04-11 716
HTTP 请求方法:http.request.method == "GET"、http.request.method == "POST"等,显示特定 HTTP 请求方法的数据包。IP 范围:ip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.100,显示在该 IP 地址范围内的数据包。多个 IP:ip.addr == 192.168.1.1 or ip.addr == 192.168.1.100,显示来自或去往这些 IP 的数据包。
wireshark抓包长度和内容与原始报文不同
陈贤鹏的博客
01-09 4468
wireshark抓包长度和内容与原始报文不同,wireshark抓包会自动在原始报文前面添加40个字节数据。 如果有多个报文,则在所有报文前面添加40个字节数据,并且在相隔报文中间添加16个字节数据。...
关于wire shark抓到以太网小于64字节讨论,如抓到了54字节、60字节
多丰富下自己呀
04-24 6840
关于wire shark抓到以太网小于64字节讨论,如抓到了54字节、60字节。 用wire shark 抓网络包时,经常能看到一些数据包小于64字节。如TCP连接与断链时候就有60字节与54字节的出现。 以太网规定,以太网数据域部分最小为46字节,也就是以太网最小是 6 + 6 + 2 + 46 + 4 = 64。当数据字段的长度小于46字节时,MAC子层就会在数据字段的后面填充以满足数据长不小于64 字节。由于填充数据是由MAC子层负责,也就是设备驱动程序。 当数据到达网卡时,在物理层上网
TCP建立连接、断开连接以及正常报文的报头和报位的大小
weixin_34318272的博客
01-10 162
正常通信报文大小:以太网的头尾:14字节IP首部:20字节TCP首部:20字节尾部4字节校验合计:58 三次握手的报文大小:SYN: 70AYN,ACK:72ACK: 64合计:206字节 关闭连接的过程:FIN, ACK: 56SYN, ACK, 54但是都要提升为64,所以是128字节来自为知笔记(Wiz)...
wireshark使用说明.docx
08-17
- **将TS流转换为视频**:通过保存TS流为文件,再用媒体播放器打开,评估视频质量。 #### 五、报文转换为 TXT 文档 - **多条报文转换**:使用“Export”功能将多个报文导出为文本文件。 - **单条报文转换**:通过...
用dpdk抓到的报文要自己保存成pcap格式的包,并且能用wireshark打开
Ghost
05-25 4024
经过这段时间接触dpdk,了解了dpdk的工作模式和流程,现在需要从绑定的网卡上获取数据包然后保存成pcpa格式的包,因为dpdk绑定的网卡不用使用tcpdump 还有我这个版本也没有pdump可以使用,只能自己解析。之前在网上看到的demo都是把pcap文件解析成五元组之类的东西,现在根据那些demo反向写一个保存的,下面是代码,转载希望能标注一下。pcap.h:// pcap.h // ...
wireshark抓包看TCP头部时间戳
yishuihan的博客
11-17 8713
本文于2020年8月23日首发于个人公众号“码农的修炼之道”,欢迎关注。 不知道大家有没有注意到,wireshark抓取tcp报文的时候,大部分时候的报文是如下图所示的,其中带了Seq,Win和Len字段,分别对应了报文序列号、滑动窗口和tcp报文长度。 有时候,也会在报文中看到TSval 和 TSecr 这两个参数,如下图所示。 那么这个参数来源于哪里呢?又有什么作用呢? 1、原理 时间戳(TCP Timestamps Option,TSopt)来源于TCP报文头部的Option选项。这个选项在 .
以太网最小为什么64字节
ayang1986的专栏
09-08 1万+
http://apps.hi.baidu.com/share/detail/15354889    以太网最小为什么64字节 最近由于要做一个关于以太网环境中网络设备时延方面的测试,在RFC2544 上面规定了一些测试时数据包的长度分别为64, 128, 2
以太网最小为什么64字节?是如何计算的?
qq_57345314的博客
07-06 3875
以太网最小长为64字节的原因
链路层常见报文格式及长度
Simple‘s Blog
05-11 1万+
http://blog.chinaunix.net/uid-20530497-id-2878069.html 1. Ethernet(除去上层负载后长度为18字节) 以太有好多种,我们最常用到的是Ethernet II Ethernet II即DIX 2.0:Xerox与DEC、Intel在1982年制定的以太网标准格式。Cisco名称为:ARPA Ethernet
Wireshark TS | Win 客户端特殊乱序和帧长度
7ACE的博客
05-10 1034
Wireshark TS | Win 客户端特殊乱序和帧长度
wireshark捕获实时网络数据
OceanStar的博客
11-29 5526
引言 捕获实时网络数据是wireshark的主要功能之一。 wireshark捕获引擎提供如下功能: 从不同类型的网络硬件(比如以太网捕获 同时从多个网络接口捕获 在不同的触发器上停止捕获,例如捕获的数据量、运行时间或数据包数量。 在wireshark捕获时同时显示解码包 过滤数据包、减少要捕获的数据量 在进行长期捕获时将包保存在多个文件中,可以选择在固定数量的文件中进行旋转(一个“ringbuffer”)。 欢迎屏幕的“捕获”部分 当您打开Wireshark而没有开始捕获或打开捕获文件时,它将显示“
关于以太网MAC46字节的缘由
qq_58822959的博客
08-05 3479
如果数据字段长为46,那么MAC总长就为64字节,欸,此时就不用填充了,那么就是0,这就是填充字段最小为0的由来,所以填充字段范围就是0~46字节;根据王道书的解释数据字段最短长为64-18=46字节,这个18字节,是首部和尾部的全部字节,也就是源地址,目的地址,类型和FCS的字节数即=6+6+2+4=18字节,MAC由数据字段和他们一起组成,根据以太网最短长,就可得MAC最短长为46字节,当数据字段长为45时,MAC总长就为63字节,差一个字节,就得再填充1个字节(更有利于理解)
Wireshark分析IP数据报
热门推荐
tobing的博客
04-06 3万+
Wireshark分析IP数据报 1. IP数据报格式 总概 2. IP数据报首部的固定部分各字段 版本【4位】:IPv4或IPv6 首部长度【4位】:单位是32bit(4字节),比如:首部最小长度为20字节,此时为:0101(5);因此可以推测首部最大长度为15*4字节=60字节,而且数据部分永远是4字节的倍数。 区分服务【8位】:旧称服务类型,1998改为Differentiated ...
计算机网络-数据链路层-广播信道
weixin_43464150的博客
09-21 1542
局域网的数据链路层 局域网使用广播信道 局域网最主要的特点是:网络为一个单位所拥有,且地理范围和站点数目均有限 优点 1)有广播功能——能方便地从一个站点访问全网 2)便于系统扩展 3)提高系统可靠性、可用性、生存性 按网络拓扑分类 星型网、环形网、总线网 共享信道的两种方法 1)静态划分信道:代价高,不适合局域网,如:频分复用、时分复用、波分复用、码分复用 2)动态媒体接入控制(多点接入):特...
wireshark抓视频
01-17
### 使用Wireshark捕获和分析视频流数据 #### 选择合适的网络接口 启动Wireshark后,选择用于捕获流量的网络接口。如果不确定哪个接口正在传输目标视频流,则可以先开启所有可用接口进行初步测试。 #### 设置捕捉过滤条件 为了减少不必要的数据量,在开始捕捉前设置恰当的BPF(Berkeley Packet Filter)。对于基于HTTP/HTTPS协议传输的视频服务如抖音短视频平台,可采用`http`作为实时显示筛选表达式来定位相关请求响应报文;而对于通过RTP或RTMP等专用媒体分发渠道传送的内容,则应依据具体应用层协议特征构建相应规则[^4]。 #### 配置解码选项 针对不同类型的多媒体流传送机制调整Wireshark内部处理方式: - 对于经由UDP承载且遵循RTP标准封装格式的数据单元,在接收到首个疑似匹配项之后,可通过右键菜单选取“Decode As...”功能将其重新解释为该类消息结构; - 若涉及更复杂的会话初始化流程比如RTSP控制命令序列,则需进一步确认关联TCP连接,并同样运用上述方法指定其按照对应语法规则解析[^1]。 #### 提取有效载荷信息 一旦完成基本配置并获取了一定量样本集,即可着手提取感兴趣部分——即实际编码后的音画素材片段。这通常意味着要深入探究特定PDU(Protocol Data Unit)内的Payload区域,寻找那些符合预期模式串特征的目标字节序列。例如当面对MPEG-TS格式时,应当留意每188字节长度固定不变且起始标志位恒定等于0x47的特点[^3]。 #### 数据导出与后续操作 最后一步便是考虑怎样将所获得的结果转换成易于观看的形式。一方面可以直接利用内置插件尝试重建原始文件;另一方面也可以借助外部工具链实现更加精细定制化的加工过程。以H.264为例,存在专门设计用来接收NALU级输入源进而重组成为合法容器格式的应用程序可供选用。 ```bash # 示例:使用ffmpeg从TS流中抽取音频视频轨道并合成为一个MP4文件 ffmpeg -i input.ts -c copy output.mp4 ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值