Wireshark coluna “length” - o que inclui?

Navegue suas respostas
2

Alguém pode me dizer a que a coluna "Comprimento" em WireShark se refere?

Tenho certeza que é o "tamanho" de todo o quadro no fio. Fiz alguns cálculos, mas não recebi o número que o WireShark está relatando.

Alguém sabe o que o "comprimento" inclui? Eu li em algum lugar que o preâmbulo (7 octetos), início do delimitador de quadros (1 octeto) e FCS (4 octetos) não são normalmente capturados, mas isso significa que WireShark ainda adiciona esses números para chegar ao cálculo de "comprimento" ?

    
por jeff0000 06.10.2014 / 21:30

2 respostas

4

É a contagem dos bytes que foram capturados para esse quadro específico; ele corresponderá ao número de bytes de dados brutos na seção inferior da janela wireshark.

O conteúdo da captura depende de como a captura foi feita, mas normalmente uma captura é executada desde o início do cabeçalho até o final da carga útil.

Clique nas partes decodificadas do protocolo na janela wireshark, ele destacará quais partes dos dados fazem parte de qual protocolo e o que os diferentes cabeçalhos capturados significam.

    
por 06.10.2014 / 21:44
3

Veja a resposta de Shane Madden.

Observe também que

  1. O Wireshark não adiciona números para obter esse tamanho, ele obtém o número de libpcap / WinPcap, que o obtém do mecanismo de captura subjacente, que normalmente obtém o número do driver de dispositivo, que normalmente o obtém do hardware.
  2. Na Ethernet, o preâmbulo e o delimitador SOF são raramente capturados (não acho que já tenham sido capturados por hardware Ethernet regular e drivers de dispositivos Ethernet regulares) e o FCS geralmente não é capturado, mas às vezes pode ser (a razão pela qual o Wireshark tem heurística para tentar adivinhar se há um FCS ou não é que o adaptador Ethernet e o driver Mac OS X em pelo menos uma máquina que eu estava usando fez fornecer o FCS, então os pacotes de entrada incluíram o FCS, embora pacotes de saída não.
  3. Em outras redes, Depende (TM). Para o 802.11, você pode ou não obter o FCS, e você também pode obter um cabeçalho antes do cabeçalho 802.11 contendo metadados de rádio (taxa de dados, canal, etc.; esses dados não dados que foram transmitidos como bits no ar, mas aparecem nos dados do pacote e são contados como parte do comprimento. Para PPP, você pode ou não ver o FCS e, para o PPP em um enquadramento semelhante ao HDLC, você pode ou não ver o cabeçalho semelhante ao HDLC.

Além disso, para Ethernet, veja minha resposta para esta pergunta sobre como capturar o preâmbulo, SFD e FCS .

    
por 06.10.2014 / 23:53

Tags

“bin / unpack200: not found” ao instalar o TeamPostgreSQL Como meu registrador (Namecheap) me permite configurar um registro CNAME no domínio do apex?