Wireshark分析数据包的包头大小

最新推荐文章于 2025-08-11 23:25:15 发布
原创 最新推荐文章于 2025-08-11 23:25:15 发布 · 1.7k 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#wireshark #网络 #安全

        Wireshark 是一个功能强大的网络协议分析工具,它通过截获网络流量中的帧来帮助用户分析和诊断网络问题。每个帧包含多个层的数据,其中包括数据链路层、网络层以及更高层的数据。

帧头的大小取决于所使用的协议。例如:

  1. 以太网帧 (Ethernet Frame)

    • 以太网头 (Ethernet Header):典型大小为14字节,包括:
      • 以太网类型/长度字段:2字节
      • 源MAC地址:6字节
      • 目的MAC地址:6字节

  2. VLAN标记 (如果存在)

    • 4字节,包括802.1Q Tag(2字节)和802.1Q优先级(2字节)。

  3. IP包头 (IP Packet Header)

    • IPv4头:最小20字节,最大60字节(如果包含选项字段)。
    • IPv6头:固定为40字节。

  4. 传输层头 (Transport Layer Header)

    • TCP头:最小20字节,最大60字节(如果包含选项字段)。
    • UDP头:固定为8字节。

举个例子,一个典型的IPv4以太网帧包括:

  • 以太网头:14字节
  • IP头:20字节(无选项)
  • TCP头:20字节(无选项)
  • 数据:根据具体应用而定

所以一个典型的无选项的IPv4 TCP数据包的总头部大小为54字节(14 + 20 + 20)。

Wireshark 可以展示帧中所有这些层的详细信息,并解析每一层的数据。帧头的大小对于理解网络通信中的开销和效率非常重要。

【007】Wireshark之设置捕获数据包大小及指定存储路径
Postgres 数据库内核开发工程师
11-05 7417
文章目录1. 概述2. 设置捕获包存储路径3. 设置捕获包输出格式4. 基于文件大小5. 基于时间条件6. 基于文件大小和时间组合7. 环形缓冲区创建文件 1. 概述 在 Wireshark之抓包文件保存 一文中,详细讲解了如何将Wireshark捕获到的数据包按照不同的方式存储到指定的目录位置,这属于先捕获数据包然后再存储的方式。而本文则介绍如何事先设置Wireshark自动将捕获的数据包存储到我们先前设定好的目录文件中,并且赋予它一定的存储规则,比如按照指定大小来创建文件,比如1KB、1MB等;或按照
一个数据包大小是多少k_Wireshark数据包分析实战:TCP报文段重组
weixin_39779467的博客
12-03 1888
01 引言最近有位热心读者朋友给成哥发来私信,说他现在对IP分片有疑惑。他读过成哥的《Wireshark数据包分析三板斧》和《一文秒懂TCPIP实际五层结构》系列文章,直言对自己帮助很大,可以算是成哥的铁粉了。但是他在工作中遇到的IP分片现象和成哥文章中讲的有出入,想和成哥探讨下具体原因。成哥觉得这种精神非常好,尽信书不如无书,就要有自己的独立思考。希望大家也多思考多给成哥提出意见和建议,十分感谢...
关于wire shark抓到以太网包小于64字节讨论,如抓到了54字节、60字节。
多丰富下自己呀
04-24 7502
关于wire shark抓到以太网包小于64字节讨论,如抓到了54字节、60字节。 用wire shark 抓网络包时,经常能看到一些数据包小于64字节。如TCP连接与断链时候就有60字节与54字节的出现。 以太网规定,以太网帧数据域部分最小为46字节,也就是以太网帧最小是 6 + 6 + 2 + 46 + 4 = 64。当数据字段的长度小于46字节时,MAC子层就会在数据字段的后面填充以满足数据帧长不小于64 字节。由于填充数据是由MAC子层负责,也就是设备驱动程序。 当数据帧到达网卡时,在物理层上网
高效 准确地鉴别出入站的恶意流量
chengfangang的专栏
01-05 3032
wireshark 过滤表达式的比较运算符一览 (类 C 形式和对应的英语形式) enighish           C-like           含义和实例 eq                 ==               等于       ip.src == 10.0.0.5 ne                 !=               不等于    
Wireshark网络抓包(三)——网络协议
weixin_30245867的博客
02-06 2161
一、ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址。 IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要...
网络-IP协议
wangruxin222的博客
04-15 407
IP:因特网协议 IP包头结构 版本version:IPv4 头部长度:20字节用5表示 总长度:头部加上层应用层的数据 抓取一个包查看 TCP 20 UDP 8 标识 分段标志 分段偏移量都成为分片 分片 数据包切割分片传 例如:MTU=1000 路由器接口为400则会被切割为两段400 和一个200 到达目的地要拼起来 拼起来要依靠一下字段 亮起来表示分片 分段:亮起来,表示不要分段 更多分段:亮起来,表示分段 没有分段的包 改大小 抓的包大小变为1518,会被分段 科莱抓到的包只显示第一
wireshark捕捉的数据包,对数据帧头部、IP数据包头部、ICMP头部进行分析
sparrow_fly_2021的博客
11-13 4884
数据帧、IP数据包、ICMP协议分析
wireshark抓ping数据包以及简单分析
热门推荐
qq_55857040的博客
12-13 2万+
相关知识 1.Ping原理 Ping是一句DOS 命令,一般用于检测网络通与不通 ,也叫时延,其值越大,速度越慢 PING (Packet Internet Grope),因特网包探索器,用于测试网络连接量的程序。Ping 发送一个 ICMP 回声请求消息给目的地并报告是否收到所希望的 ICMP 回声应答。 它是用来检查网络是否通畅或者网络连接速度的命令。 作为一个生活在网络上的管理员或 者黑客来说,ping 命令是第一个必须掌握的 DOS 命令,它所利用的原理是这样的:网络上 的机器都有唯一确定的
Wireshark抓包TCP包头分析
千寻的博客
10-07 4356
TCP包头分析 注释:    端口号范围:0-65535    源端口号:是客户端进程随机生成的,一般是从50000开始的    目标端口号:一般是服务器固定的。如:mysql:3306    序列号seq:TCP为每个字节都进行了编号。    确认...
wireshark简易抓包分析——ping指定大小包长多28Byte
krokodil98的博客
09-21 6389
测试ping时会发现一个现象:在指定ping包长度后,实际发出的包总长=指定ping包长度+28。
wireshark抓包数据包大小差异分析
最新发布
qq_51601623的博客
08-11 1362
摘要:本文分析网络数据包大小差异的原因,主要涉及以太网填充和TCP分段卸载(TSO)技术。左边Windows客户端显示55字节,是因抓包点在填充前;右边Linux服务器60字节则已包含填充。更大的数据包差异(1514/1514/574vs3494)则源于TSO特性:服务器将大块数据交给网卡分段,客户端收到的是实际传输的小包。在虚拟环境下(4083vs4083),两端都显示合并后的大包,因抓包点位于分段前和合并后。这些现象展示了网络协议栈和硬件优化的不同处理阶段。
计算机网络大作业(Wireshark抓包分析
weixin_51245887的博客
05-16 7510
Wireshark 是一个网络数据包分析器。适用于UNIX和Windows。从网络接口捕获实时数据包数据。显示包含非常详细协议信息的数据包。保存捕获的数据包数据。以多种捕获文件格式导出部分或全部数据包。根据许多标准过滤数据包。根据许多条件搜索数据包。根据过滤器对数据包显示进行着色。创建各种统计数据。…等等当使用Wireshark时,可以使用过滤规则来筛选和查看感兴趣的数据包
wireshark中ARP协议的数据包分析
1315963786的博客
02-20 6018
OSI模型将网络分为了七层,而IP地址为第三层(网络层),Mac地址为第二层(数据链路层)。在通过以太网发送IP数据包时,要首先封装第三层与第二层的报头,由于在发送时只知道目标IP地址,不知道Mac地址,又不能直接跨越二、三层,所以需要地址的解析协议。 ARP的功能就是将已知的IP地址解析成为Mac地址。 主机A在给主机B发送数据时,主机A会在自己的本地ARP缓存表中检查与主机B相匹配的M...
wireshark的解析功能
qq_50673844的博客
10-13 3226
wireshark的最强大的功能便是协议解析功能,这也是我们最常用的功能
Wireshark学习
AlexSmoker的博客
01-31 8162
0x1 Wireshark安装和下载 老样子给出Wireshark下载地址Wireshark官网,下载完成后除了选择安装路径外都可以直接下一步默认安装配置。如果嫌下载慢我这还有刚下好的最新版本x64 v3.2.1,给大家带来便利网盘入口,密码:sayb 我这里安装的版本是Wireshark v3.0.6 0x2 Wireshark的安置 想要使用Wireshark首先要知道Wireshark部署...
wireshark网络抓包工具基础使用教程
weixin_42661412的博客
05-16 7940
WireShark是非常流行的网络抓包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
wireshark抓包实战(五),首选项设置和基本的抓包设置
愿你饱经冷暖,仍保纯真
01-17 7740
一、首选项 首选项一般是修改软件底层的一些默认参数 选中编辑,点击首选项按钮 二、抓包选项设置 点击捕获,选中选项 1.捕获网卡设置 2.保存文件方式设置 很多情况下wireshark会保存很大的数据包而不停止,这样不利于我们分析数据包。所以我们可以设置保存数据的方式: (1)根据数据包大小保存:即数据每满设置的值,则立即保存当前数据包,并且再新建一个数据包 注意:文...
流量分析wireshark的使用
cc777777777的博客
04-07 5459
流量分析wireshark的使用
Wireshark
比较平凡的博客
12-28 3724
Wireshark实验 数据链路层 实作一:熟悉Ethernet帧结构 使用Wireshark任意进行抓包,熟悉Ethernet帧的结构,如:目的 MAC、源 MAC、类型、字段等。 ping www.bilibili.com: 捕捉到0x0800以太类型的IPv4数据报,源mac地址:40:74:e0:a8:0f:bb,目的mac地址:00:74:9c:9f:40:13 ✎ 问题 ​ 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 原因:抓包软件抓到的是去掉前导同步
wireshark的命令积累
weixin_40493805的博客
05-24 534
1、 积累一些,以后可以经常用,用的多了,就不用背了。可以直接在过滤器里面输入相关命令,后面会有内容出来引导,看图: 2、需要查询udp的数据长度>或者<多少,可以用以下命令 udp.length < 500 and udp.length > 200 3、 tcp的长度语法居然是这个 tcp.len < 500 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值