wireshark抓包发现1506字节包

最新推荐文章于 2024-04-21 05:00:00 发布
转载 最新推荐文章于 2024-04-21 05:00:00 发布 · 398 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/changbo/p/5091040.html
文章标签:

#网络

本文详细解析了以太网最大传输单元(MTU)的概念,解答了为何抓包时会发现长度为1506字节的数据包,而非通常认为的1500字节。通过分析以太网帧结构,解释了MTU与链路层、网络层的关系。

以太网的MTU最大为1506字节,但是抓包的时候我却发现大量的1506的字节包,这让我百思不得其解

1,TCP的MTU是哪里来的?

TCP的MTU一般使用默认值,当然,程序员也可以自己设定。我们这里讨论的是以太网的MTU值,以太网的MTU值为1500。

 

2,以太网的MTU为1500,为什么包长度达到了1506?

以太网的最大传输单元是1500,但这个长度是不包含链路层的,这个值是链路层针对网络层的设计,我们可以看看链路层的帧结构

这里我们讨论最常见的以太网帧封装结构,网络上99%以上都是以太网帧封装结构

由以太网帧结构,我们很容易就看出数据链路层针对网络层数据进行了限制,而wireshark的length项是整个帧的长度。

即14+20+20+1452 = 1506

1452这个值我们很容易从抓包的TCP层获取到

由此,我们得出,TCP层三次握手时候的MSS交换的值取决于网络层,受限于数据链路层协议。

 

在以太网数据帧中,开始的那部分是变长的字段(IP首部和TCP首部,数据部分是固定的,但不影响),把它们移动到尾部(CRC之前),这样把数据复制到内核时,就可以

把数据帧中的DATA部分映射到一个硬件页面,节省内存到内存的复制过程。也就是说CRC之后不必要再将已经在内存的DATA再重复复制一遍来使用。TCP数据报的长度是512字节的

整数倍,正好可以用内核中的页表来处理。

 

 我们注意到一个细节,CRC并未被计数到链路层数据长度

CRC是在数据发送期间进行计算的,是对整个帧的校检,也就是说,当一个帧封流出之后,CRC校检也随即完成,故,CRC是不计入链路层的。我们设想,如果把CRC放在帧头部,或帧中,那就需要对整个帧进行2次

操作方可完成,因为帧校检完成之后,若不附在尾部,必然要进行数据的插入操作。

 

同时我们也知道,一个以太网数据流,最大可达到1500 + 18 即1518字节。

 

END!

 

转载于:https://www.cnblogs.com/changbo/p/5091040.html

Windows系统下的TCP参数优化
weixin_30614587的博客
04-05 2366
续上文:TCP连接的状态与关闭方式,及其对Server与Client的影响   通常会采用修改注册表的方式改进Windows的系统参数。下面将为大家介绍Windows系统下的TCP参数优化方式,适用于Windows 2003、Windows XP、Windows 7以及Server版。对于具体的系统环境与性能需求,优化方式会有所差异,效果也不尽相同,仅是个人的建议。所有的优化操作都通过修改注...
wireshark抓包工具的使用
热门推荐
m0_70618214的博客
08-21 3万+
WireShark网络分析软件 主要分为这几个界面:① Display Filter (显示过滤器):用于过滤。② Packet List Pane (封列表):显示捕获到的封, 有源地址和目标地址,端口号。颜色不同代表抓取封的协议不同。③ Packet Details Pane (封详细信息),:显示封中的字段。④ Dissector Pane (16进制数据)⑤ Miscellanous (地址栏,杂项)
TCP报文的最大负载和报文的最小长度
weixin_30606461的博客
08-22 1482
TCP报文的最大负载和报文的最小长度 MTU:最大传输单元,以太网的MTU为1500Bytes MSS:最大分解大小,为每次TCP数据每次传输的最大数据的分段大小,由发送端通知接收端,发送大于MTU就会被分片。 MSS默认最小为536B,最小的MTU576B,MSS = MTU -IP头(20B)- TCP头(20B) TCP最小数据长度为1460Bytes   以太网的最大数...
wireshark 数据分析技巧总结
Bonnie Learning Summary --- Special column
08-24 1万+
摘抄自: http://blog.51cto.com/shayi1983/1558161 wireshark 过滤表达式的比较运算符一览 (类 C 形式和对应的英语形式) enighish           C-like           含义和实例 eq                 ==               等于       ip.src == 10.0.0.5 ne     ...
TCP 、UDP、IP的最大长度是多少
daiyudong2020的博客
12-02 1万+
一、传输层 TCP:对于TCP来说,数据是流式传输的,传输数据可以接近无限大,单次传输的数据受限于网络层。 UDP:而对于UDP,IP报头占20字节,UDP报头占8字节,则最大的体为65535(由报文长度字段决定)-20-8=65507,单次传输的数据受限于网络层。 二、网络层 局域网:MTU大约是1500字节,也就是一个IP可以传输大约1460个字...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
wireshark抓包及分析-Wireshark网络抓包与数据分析技术详解
12-19
首先,从打开Wireshark、选择网络接口、设置抓包过滤器、开始和停止抓包等多个步骤详细描述了如何进行网络数据的抓取。其次,通过数据列表视图、详细信息视图和字节视图等多种方式展示了如何分析捕获到的数据...
HTTPS之Wireshark抓包
程序猿进阶
04-21 5106
Wireshark是一个非常强大的网络分析软件,借助它能够知道客户端和服务器端是如何互相交换消息的,能够了解每个消息的具体内容。
java实现tcp客户端和服务端,并且用Wireshark抓包
05-16
使用Wireshark进行抓包的步骤括:安装Wireshark并选择正确的网络接口进行捕获;设置捕获过滤器以减少不必要的数据(例如,只捕获TCP或特定端口的数据);开始捕获后,可以实时查看和分析数据;停止捕获后,...
有关二层MTU最小为什么是64Byte
网络知识精读
03-15 5750
网络中,二层MTU的大小是从64~1500byte,一开始就把这个值当做给定值进行记忆,这段时间详细过了一遍CSMA/CD,所以有关这个问题也理解更加深入一些。 这里主要记录下,为什么二层MTU最小是64个byte,实际上是64*8=512bit长度,实际上该512bit也是指的CSMA/CD中的时隙长度,即为传输512个bit大小的数据所花费的时间。换言之,该512个bit传输的时间,可以完
wireshark分析以太网帧结构_用Wireshark抓包分析帧格式
weixin_36089077的博客
02-05 9838
摘要:该文从Ethernet和wifi的帧格式着手进行了分析,并讨论了帧结构的各个字段的含义且对于该如何分析进行了举例,加深了读者对帧格式的理解,增强了wireshark的应用。关键词:wireshark;ethernet;wifi中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)28-6831-02Use Wireshark to Analyze a FrameBAI ...
MTU问题,为何抓包到1514
wangcg123的专栏
04-22 1万+
MTU 1500,抓包长度是1514
wireshark调试中遇到的问题
yang_chen_shi_wo的博客
07-17 3282
问题1: WarnDissector bug, protocol LTE_M2M, in packet 1: proto.c:3902: failed assertion"DISSECTOR_ASSERT_NOT_REACHED" 这个主要是你所用的tree和协议不匹配造成的, ti= proto_tree_add_item(pt, hf_lte_m2m_downlink_pdu, tv
wireshark抓包TCP报文超过1500字节
weixin_33962621的博客
11-08 3303
网上的相关答案 1)wireshark会针对报文进行预处理,查看到的报文程度实际上是重组之后的结果 2)网卡对进行重组,需要从网卡设置disable 参考http://packetbomb.com/how-can-the-packet-size-be-greater-than-the-mtu/ 本文转自fengyuzaitu 51CTO博...
为什么TCP/IP长会大于MTU?
weixin_33686714的博客
07-22 2221
为什么80%的码农都做不了架构师?>>> ...
网络传输一丢丢记录【数据大小限制】
dreamgis的专栏
09-17 6063
今早用udp传一个对象序列化字节数组,大小达到了7000+字节,然后udp的send就报异常; “一个在数据报套接字上发送的消息大于内部消息缓冲区或其他一些网络限制,或该用户用于接收数据报的缓冲区比数据报小。” 网上查了一下,说是超过udp的单容量(一般不超过1000字节),所以报错。如果用udp传大的数据(比如传一个文件)标准做法是分发送,比如,先把文件分,256一个,每数据的第...
为什么抓包工具所抓包最小是54字节而不是60字节
nonolive的专栏
06-25 3343
(转载的)http://ewangsoft.blog.163.com/blog/static/7721558220093200840864/ 根据rfc894的说明,以太网封装IP数据的最大长度是1500字节,也就是说以太网最大帧长应该是以太网首部加上1500,再加上7字节的前导同步码和1字节的帧开始定界符,具体就是:7字节前导同步码 + 1字节帧开始定界符 + 6字节的目的MAC + 6字节
如何解决wireshark抓包大于mtu的问题
mgxcool的专栏
06-11 1万+
在测试的时候,发现有些时候用wireshark抓到的中含有很多大于mtu的数据。于是试了一下,在本机抓包和在通信的对端同时抓包发现本机上抓到了大于mtu的,但是对端却没有这种。可以推断出数据在最后发出去的时候,还是进行了切分。 从这个现象大概也可以猜测出wireshark抓包的机制,大概是在什么地方抓取的。 于是想了想网卡上有没有什么参数可以配置来解决这个问题,最后发现
wireshark抓包搜索分组字节
最新发布
07-04
Wireshark 中搜索分组字节流(Packet Bytes)是分析网络流量时常见的需求,特别是在查找特定的二进制数据或原始数据内容时。以下为详细的方法和操作步骤: ### 使用“分组字节流”进行搜索 1. **定位到“分组字节流”面板** 在 Wireshark 主界面中,通常下方的第三个面板显示的是当前选中数据的原始字节流(Hex Dump),即“分组字节流”。可以通过鼠标点击该区域激活。 2. **使用快捷键 `Ctrl + F` 打开搜索窗口** 弹出的搜索窗口中选择“**分组字节流(Packet bytes)**”选项卡,确保搜索范围限定在原始字节流上。 3. **输入搜索内容** 支持以十六进制(Hex)或 ASCII 字符串形式进行搜索。例如: - 要搜索字符串 "example",可直接输入 `example`。 - 若需精确匹配十六进制值如 `65 78 61 6D 70 6C 65`,则切换至 Hex 模式输入[^1]。 4. **执行搜索** 点击“Find”按钮后,Wireshark 将高亮显示匹配的数据位置,并跳转到第一个匹配项。继续点击可遍历所有匹配结果。 ### 使用显示过滤器搜索字节流内容 若常规搜索方式无法命中目标,可以尝试通过设置显示过滤器来筛选含特定字节流的数据: ```text data contains { hex values } ``` 例如,搜索含 `65 78 61 6D 70 6C 65` 的数据: ```text data contains { 65 78 61 6D 70 6C 65 } ``` 如果要搜索 ASCII 字符串,则可以使用: ```text data-text-lines contains "example" ``` 这种方式特别适用于过滤出含特定文本内容的数据,即使这些内容出现在被截断或非结构化的字段中。 ### 导出分组字节流中的文件内容 对于某些流量(如菜刀等工具传输的文件),导出文件前需要对字节流进行处理,删除前后多余的控制字符(如 `X@Y`)。具体操作如下: 1. 右键点击分组字节流区域,选择“**Show Packet Bytes**”。 2. 在弹出窗口中,调整起始和结束偏移量(通常原字节数开头加3,结尾减3)。 3. 设置完成后点击“**Save as**”保存文件。 此方法可避免因多余字符导致文件损坏的问题[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值