Wireshark“长度”列 - 它包括什么?

Wireshark“长度”列 - 它包括什么?

谁能告诉我 WireShark 中的“长度”列指的是什么?

我很确定它是线路上整个帧的“大小”。我做了一些计算,但没有得到 WireShark 报告的数字。

有人知道“长度”包括什么吗?我读到过,前导码(7 个八位字节)、帧起始分隔符(1 个八位字节)和 FCS(4 个八位字节)通常不会被捕获,但这是否意味着 WireShark 仍会添加这些数字来计算“长度”?

答案1

这是为特定帧捕获的字节数;它将与 wireshark 窗口底部的原始数据字节数相匹配。

捕获的内容取决于捕获的方式,但通常捕获从标头的开始到有效负载的结束。

单击 wireshark 窗口中解码的协议部分,它将突出显示数据的哪些部分属于哪个协议,以及捕获的不同标头的含义。

答案2

参见 Shane Madden 的回答。

另请注意

  1. Wireshark 不会添加数字来获取该长度,它从 libpcap/WinPcap 获取数字,而 libpcap/WinPcap 从底层捕获机制获取数字,而底层捕获机制通常从设备驱动程序获取数字,而设备驱动程序通常从硬件获取数字。
  2. 在以太网上,前导码和 SOF 分隔符很少被捕获(我认为常规以太网硬件和常规以太网设备驱动程序从未捕获过它们),而 FCS 通常不会被捕获,但有时可能会被捕获(Wireshark 有启发式方法来猜测是否存在 FCS 的原因是,至少有一台我使用的机器上的以太网适配器和 Mac OS X 驱动程序做过提供 FCS,因此传入数据包包含 FCS,但传出数据包不包含。
  3. 在其他网络上,这取决于具体情况。对于 802.11,您可能会或可能不会获得 FCS,并且您还可能会获得标头包含无线电元数据(数据速率、信道等)的 802.11 标头;该数据是不是数据以比特的形式在空中传输,但它出现在数据包数据中,并且被计入长度的一部分。对于 PPP,您可能会看到或看不到 FCS;对于采用 HDLC 类帧的 PPP,您可能会看到或看不到 HDLC 类报头。

另外,对于以太网,请参阅我的回答关于捕获前导码、SFD 和 FCS 的问题

答案3

简而言之,这是网络数据包的大小其中提到数据包详细信息窗格

Wireshark 数据包详细信息框架 GUI

相关内容