我知道这个问题听起来很愚蠢,但最近我很难想象第 2 层级别的整个数据包流。
我正在第 2 层开发防火墙,并且有兴趣在来回路由数据包时检查 TCP 数据包。
但我是否可以检查 TCP 流是值得怀疑的,因为我无法确认 TCP 流是否涉及流之间的多个以太网数据包
我尝试使用 Wireshark,但说实话,我不知道如何提取整个流..............
答案1
TCP 的实现与数据链路层无关。因此,一个 TCP 数据包可以跨越一个或多个以太网帧。
如果您想在数据链路层进行过滤并检查网络通信的更高层,则需要从复合数据链路帧手动组装 TCP 通信,然后检查第 3 层信息。
以太网帧具有标准尺寸,因此,从帧中组装数据包应该不那么具有挑战性,并且您可能会发现大多数 TCP 握手步骤本身可能适合单个以太网帧,但如果您碰巧使用 802.11 媒体,这可能会变得更加令人畏惧,因为第 2 层可在 Wifi 客户端和接入点之间进行加密。