我正在使用 Wireshark 查看来自 Comcast 的 CPE 流量,对于每个数据包,都有一个完全相同的附加数据包,只是帧开头有 4 个附加字节(显然,这会搞乱 wireshark 对数据包的停放)。
4 个前缀字节在不同数据包中有所差异,但几乎总是以 FF 结尾。
此外,前两个八位字节似乎表示小端顺序的原始数据包的长度。
有任何想法吗?
答案1
我怀疑由于某种原因您的 CPE 配置为发送带有 802.1q VLAN 标记的数据包:
http://en.wikipedia.org/wiki/IEEE_802.1Q
如果前置标签以 0x8100 开头,就会出现这种情况。
也可能是 CPE 固件中的错误,或者其他类型的标记。复制数据包似乎很奇怪。