wireshark抓tcp包长度的疑惑

最新推荐文章于 2025-06-19 11:34:41 发布
原创 最新推荐文章于 2025-06-19 11:34:41 发布 · 1.3w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp #wireshark #54 #60 #填充

本文解释了在使用Wireshark抓包时遇到的包长度问题,特别是关于54字节和60字节长度的包,以及6个字节00填充的来源。通过解析以太网帧格式,揭示了最小帧长度需求以及Wireshark抓包长度的由来。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题

今天用wireshark抓包调试的时候遇到了一点小困扰,如下图

本来就是两条很普通的192.168.10.90发给195的fin包,195回应ack,但是这两个包的长度是挺诡异的,为什么一个是54,一个是60呢,而且查看60长度的包,发现在TCP协议的数据区有6个字节的00。

那么这6个字节的00又是哪里来的呢?

探(sou)寻(suo)答案

  • 首先确定的是这数据区6个字节的00不是应用程序发送的,那么必定是应用层以下的某一层填充的。

  • 为什么要填充呢?先上图

    上图是以太网(IEEE 802.3)帧格式,其中以太网数据帧部分最小46字节,发现什么了吗?最小46字节去掉IP头和tcp头各20字节,还剩6个字节,也就是说你tcp什么数据都不发,为了满足最小46字节,你还需要填充6个字节,也就是之前看到的6个字节的00。最后我们算一下可以抓到包的最小长度6+6+2+46=60。正好跟上面抓到的60个字节的数据包吻合。

  • 问题又来了,54字节长度的包是怎么整出来的呢?
    正好看到wireshark官网也有人遇到跟我类似的疑惑Size of Frames(又一次验证了一句话,你遇到的问题99%别人都遇到过,还有接近1%根本不是问题,最后才是你遇到过而别人没遇到过)。不废话了,大体意思就是最小以太网帧是64字节(去掉前导码和帧其实定位符,为什么是64字节也有讲究,可以看文章结尾的参考),其中包括4个字节的帧校验序列(FCS),而wireshark通常开到的是加入FCS前的发送帧和剥离FCS的接收帧。因此wireshark能抓到包的最小长度为60字节,但是由于接收帧是发送方操作系统填充的所以最小为60字节,但发送帧wireshark抓到的是填充之前的数据包,所以最小为54字节

  • 不同网卡可能会有不同的结果
    回家后因为笔记本用的是无线,对同样的数据包用wireshark发现,无线网卡对于没有数据的tcp抓包长度都是54字节,按上文理解可能就是wireshark抓到的包已经是剔除掉6个字节的填充位的数据了

参考
维基百科:TCP/IP协议族
IEEE8023
以太网帧长度

Wireshark与设备解析字节不一致问题
ShiZhixin的专栏
01-16 4338
一、问题 对于一个PCAP,用Wireshark的Conversions统计的字节数(图1),与设备解析得到的字节数(图2)不一致,设备解析后的字节数比Wireshark的字节数要少,但是数是相同的。 二、 问题的原因 不是丢失而导致的字节问题,因为数并没有减少,只是字节减少了。具体原因是用Wireshark出来的数据会对不满60字节的数据都做了填充,保证满60字节 而设备的流量引擎将这些填充数据数据都去掉了,统计的是真实数据的字节数,所以会少了填充的字节数。即Wireshark的字节数
WireShark---浏览器访问Baidu全过程(一)--DNS协议
Aaron_1999的博客
01-29 3603
一. 背景 想了解下,日常访问百度到底经历了什么?带着疑惑就进行了一系列的探索 二、 此处使用wireshark所得文件。 三、分析DNS解析 DNS访问顺序 1.dns的访问过程 (以window为例) 浏览器-->window缓存-->hosts文件-->DNS服务 1.1.浏览器(以chrome为例)dns chrome:...
关于wire shark到以太网小于64字节讨论,如到了54字节、60字节。
多丰富下自己呀
04-24 7047
关于wire shark到以太网小于64字节讨论,如到了54字节、60字节。 用wire shark 网络时,经常能看到一些数据小于64字节。如TCP连接与断链时候就有60字节与54字节的出现。 以太网规定,以太网帧数据域部分最小为46字节,也就是以太网帧最小是 6 + 6 + 2 + 46 + 4 = 64。当数据字段的长度小于46字节时,MAC子层就会在数据字段的后面填充以满足数据帧长不小于64 字节。由于填充数据是由MAC子层负责,也就是设备驱动程序。 当数据帧到达网卡时,在物理层上网
第七:Wireshark-WiresharkTCP详解(上篇)
最新发布
欢迎来到本博客!
06-19 1350
第七:Wireshark-WiresharkTCP详解(上篇)
wireshark分析-tcp长度
fantasy_ARM9的博客
07-08 8696
1 最近分析rtmp数据的时候,用tcpdump到一段数据,有一部分理解不了。 tcp连接的时候,协商的mss是1460,为什么这里传输的时候是2920字节? 2 原因分析,tcpdump工作在数据链路层,linux系统在设置了tso/iso的时候,通过网卡进行分tcp数据/组合tcp数据以提高效率。 对于网卡组装tcp数据的情况。tcpdump是不到的。因此这里len=2920...
wireshark报文长度小于64
hhhhhyyyyy8的博客
09-05 3242
今天用wireshark,发现有的长度小于64,比较好奇,不是说网络上传输的长度范围在64-1518字节之间么?发现wireshark取的报文长度最短为54字节,都是TCPACK确认帧,54=14(MAC头)+20(IP头)+20(TCP头)(wireshark报文长度计算不括MAC尾部4字节的CRC校验字段)。还有些帧的长度60字节。当长度不足64的时候,MAC层...
Wireshark分析数据头大小
sw0807的博客
07-17 1175
Wireshark 是一个功能强大的网络协议分析工具,它通过截获网络流量中的帧来帮助用户分析和诊断网络问题。每个帧含多个层的数据,其中括数据链路层、网络层以及更高层的数据。Wireshark 可以展示帧中所有这些层的详细信息,并解析每一层的数据。帧头的大小对于理解网络通信中的开销和效率非常重要。所以一个典型的无选项的IPv4 TCP数据的总头部大小为54字节(14 + 20 + 20)。取决于所使用的协议。
wireshark怎么54字节也行
陈贤鹏的博客
06-01 1003
https://bbs.youkuaiyun.com/topics/390590266
TCP 序列和确认号说明 | seq 和 ack 号计算方法
u013669912的博客
01-15 1312
……
【WinPcap】自制+分析+ARP攻击(一)
猫和鱼爪的鸟窝
04-21 4730
【WinPcap】自制+分析+ARP攻击 开篇 刚学习WinPcap,所以想练练手,做一个的,不是很好玩么,或许还可以写一下自己的ARP,来个LAN欺骗~于是乎,花了5天的时间,把TCP/IP的几个协议格式大致整理了一下,思考了整个软件的布局之后,决定动手写一个,再也不靠WireShark(当然还没那么厉害),自给自足才好嘛。这就是所谓的“最初动机”吧。然后就有了整个小玩
一次简单的 HTTP 调用,为什么时延这么大?分析下
05-19 846
最近项目测试遇到个奇怪的现象,在测试环境通过 Apache HttpClient 调用后端的 HTTP 服务,平均耗时居然接近39.2ms。可能你乍一看觉得这不是很正常吗,有什么好奇怪的?其实不然,我再来说下一些基本信息,该后端的 HTTP 服务并没有什么业务逻辑,只是将一段字符串转成大写然后返回,字符串长度也仅只有100字符,另外网络 ping 延时只有1.9ms左右。因此,理论上该调用耗时应该在2-3ms左右,但为什么平均耗时39.2ms呢? 由于工作原因,...
TCP浅析
Jack
03-13 2059
TCP 简介 第一部分先为大家介绍一下 TCP 的主要概念,并讲解一下 TCP 的三个重要特性——1. 面向连接;2. 基于字节流;3. 可靠性。 下图就是两种经典的分层模型,可以看到 TCP 在网络分层中的位置。 网络分层模型 本文重点对 TCP 进行介绍,从图中可以看到 TCP 位于传输层,而且构建于网络层的 IP 协议之上,TCP 是一种面向连接的、可靠的、基于字节流的传输层通信协议。 seq与ack seq和ack号存在于TCP报文段的首部中,seq是序号,ack是确认号,大小均为4字节。 seq
wireshark长度和内容与原始报文不同
陈贤鹏的博客
01-09 4497
wireshark长度和内容与原始报文不同,wireshark会自动在原始报文前面添加40个字节数据。 如果有多个报文,则在所有报文前面添加40个字节数据,并且在相隔报文中间添加16个字节数据。...
以太网最大帧和最小帧、MTU
weixin_34112900的博客
11-07 211
文章出处:http://ewangsoft.blog.163.com/blog/static/7721558220093200840864/ 根据rfc894的说明,以太网封装IP数据的最大长度是1500字节,也就是说以太网最大帧长应该是以太网首部加上1500,再加上7字节的前导同步码和1字节的帧开始定界符,具体就是:7字节前导同步码 ...
Wireshark中的length栏位
vertor11的博客
11-14 1245
L3 = L1 + L2 L3 = L1 + L2 L3 = L1 + L2 + 40(IPv6 header length)
Wireshark
比较平凡的博客
12-28 3621
Wireshark实验 数据链路层 实作一:熟悉Ethernet帧结构 使用Wireshark任意进行,熟悉Ethernet帧的结构,如:目的 MAC、源 MAC、类型、字段等。 ping www.bilibili.com: 捕捉到0x0800以太类型的IPv4数据报,源mac地址:40:74:e0:a8:0f:bb,目的mac地址:00:74:9c:9f:40:13 ✎ 问题 ​ 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 原因:软件到的是去掉前导同步
IP、TCP、UDP数据长度问题
aflyeaglenku的博客(QQ1010316426)
07-11 2806
今天使用wireshark,查看了一下数据长度统计的页面,发现TCP传输的长度超过了MTU(我所在的局域网是1500)。
wireshark分析_WireShark报文结构分析
weixin_39634351的博客
12-03 1003
TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。由IETF的RFC 793定义TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接。(图片来源于网络)为了解报文结构,我就把上次的Telnet的报文拿出来分析了一下。具体如下:物理链路层中数据用电信号传输,对应0和1,一个信号为1 bit;报文中为16进制(0x表示),一个占4位(bit),...
wireshark TCP 字段详解
热门推荐
flaming的专栏
05-19 1万+
TCP层,字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.  它们的含义是:  SYN表示建立连接,  FIN表示关闭连接,  ACK表示响应,  PSH表示有 DATA数据传输,  RST表示连接重置。  其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的
wireshark如何tcp
05-30
<think>好的,用户想了解如何使用WiresharkTCP数据。首先,我需要回忆之前提供的引用内容,看看有没有相关的步骤。引用3和4都提到了TCP的具体方法,特别是引用3详细描述了从选择网卡到过滤数据的过程。用户可能已经看过这些,但需要更清晰的步骤指导。首先,用户可能需要安装Wireshark,但引用里已经给出下载地址,可能不需要重复。接下来,要确定正确的网卡,比如WLAN或者以太网,这取决于用户的网络连接方式。然后开始捕获,但用户可能不知道如何选择正确的网卡,需要强调这一点。过程中,用户可能需要快速访问目标网站,比如LeetCode,这样才能生成足够的TCP流量。但用户可能不清楚如何在Wireshark中过滤数据,所以需要详细说明过滤表达式,比如tcp或者结合IP地址。引用3中使用了ip.addr和tcp的组合过滤,这可以作为例子。另外,用户可能需要分析三次握手的过程,所以需要解释如何识别SYN、ACK等标志位。引用4提到了IP和TCP头的结构,可以结合这些信息帮助用户理解捕获的数据内容。同时,用户可能对相对序列号的概念有疑问,需要说明Wireshark默认显示的是相对值,方便分析。最后,用户可能需要保存或导出数据,这部分在引用中没有提到,但作为常见操作应该含进去。还要注意提醒用户隐私和合规问题,避免在不可信的网络中捕获他人数据。整个过程需要分步骤,结构清晰,语言简洁,确保用户能逐步跟随操作。</think>### 使用WiresharkTCP数据的步骤 1. **选择网卡并启动** - 打开Wireshark,在首页选择与当前网络活动关联的网卡(如`WLAN`或`以太网`),点击蓝色鲨鱼鳍图标开始捕获[^3]。 - 若不确定具体网卡,可通过观察流量波动(右侧柱状图)判断活跃网卡。 2. **生成TCP流量** - 在浏览器中快速访问目标网站(如`https://leetcode.com`),或通过命令行工具(如`ping`、`curl`)触发TCP通信。 - 若需精准取特定服务的流量,可提前通过`ping`获取目标IP地址(例如`ping leetcode.com`)[^3]。 3. **停止捕获并过滤数据** - 点击红色停止按钮结束,在过滤栏输入表达式: ``` tcp # 过滤所有TCP协议数据 ``` 或结合IP地址精确过滤: ``` ip.addr == 203.107.53.81 && tcp # 过滤特定IP的TCP流量[^3] ``` 4. **分析TCP报文** - **三次握手**:查找`SYN`、`SYN-ACK`、`ACK`标志的连续数据(可通过`tcp.flags.syn==1`和`tcp.flags.ack==1`过滤)[^3]。 - **数据传输**:观察`Seq`(序列号)和`Ack`(确认号)的变化规律,确认数据完整性。 - **协议头解析**:点击具体数据,在下方窗口展开`Transmission Control Protocol`查看TCP头字段(如源/目标端口、窗口大小等)[^4]。 5. **保存或导出数据** - 通过`File > Export Specified Packets`导出特定数据(支持`.pcapng`格式),便于后续离线分析。 --- ### 关键注意事项 - **过滤技巧**:使用`tcp.port == 443`可过滤HTTPS流量,但需私钥才能解密内容[^2]。 - **序列号显示**:Wireshark默认显示相对序列号(非真实值),可在右键菜单取消`Relative Sequence Numbers`切换为原始值[^3]。 - **性能优化**:若流量过大,可提前设置捕获过滤器(如`tcp port 80`)减少冗余数据。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值