wireshark如何统计保存的数据 icmp数据长度多少字节?
icmp数据长度多少字节?
帧的数据字段的最小长度是46字节。如果IP数据报小于46字节,则数据报必须填充到46字节。当使用填充时,传输到网络层的数据包括IP数据报和填充部分。网络层使用IP数据报报头中的长度字段来删除填充。
当数据帧到达网卡时,物理层的网卡首先要去掉前导和帧起始定界符,然后对帧进行CRC校验,如果帧校验和错误,则丢弃该帧。如果校验和正确,则判断帧的目的硬件地址是否满足自己的接收条件(目的地址是自己的物理硬件地址、广播地址、可接收组播硬件地址等。),如果是这样的话,该帧被移交给 "设备驱动程序 "以便进一步处理,并将帧的数据字段内容传递给网络层。此时,我们的数据包捕获软件可以捕获数据。因此,数据包捕获软件会捕获除前同步码、帧起始定界符和FCS之外的数据。
在以太网中,IP数据报的最小长度是46字节,负载小于46字节。在数据帧的末尾添加0,但是添加的0属于以太网层,而不是数据部分。所以wireshark显示的数据帧的最小长度是14字节、46字节和60字节。
对于ICMP报文,当ICMP请求报文的有效载荷小于18字节时,ICMP响应报文将被填充为0,但它们的有效载荷长度仍然相同。
计算方法:46-IP头(20字节)-ICMP头(8字节)18字节。
最大传输单元(MTU):指由IP报头和数据部分组成的IP数据报的长度。
在以太网中,MTU设置为1500。因此,ICMP有效负载的最大长度是
MTU(1500字节)-IP报头长度(20字节)-ICMP报头长度(8字节)1472字节。
当ICMP有效负载的长度超过1472字节时,ICMP消息将被分段。如下图所示:
帧354的有效载荷大小为1480字节,等于ICMP的最大有效载荷长度(1472字节)和ICMP报头的长度(8字节)。
分段前ICMP报文长度分别为1513字节、1480字节、33字节。
相应的数据帧:
帧长度354 1514以太网帧头(14字节)IP头(20字节)ICMP头(8字节)ICMP有效负载长度(1472字节)
帧长度355 67字节以太网帧报头(14字节)IP报头(20字节)有效负载长度(33字节)
可以看出,帧355中67字节的长度不包含ICMP头,scapy解析数据包时找不到ICMP头。
wireshark抓包及分析?
1.
确定Wireshark的物理位置。如果没有积极的确切位置,启动Wireshark后需要很长时间才能捕捉到一些无关的数据。";
2.
选择捕获接口。通常,选择连接到互联网网络的接口,从而可以捕获网络相关数据。否则,捕获的其他数据对您没有帮助。
3.
使用捕获过滤器。通过设置捕获过滤器,可以避免生成过大的捕获数据。这样,用户在分析数据时就不会受到其他数据的干扰。而且,还能为用户节省大量时间。 "
4.
使用显示过滤器。通常捕获过滤器过滤的数据还是很复杂的。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
