我是网络新手,我正在分析WireShark TCP转储。我发现TCP标头时间戳值4016140,可以追溯到1970年。我错过了什么?
答案 0 :(得分:0)
在主机重启时,TCP时间戳重置为0,并由OS依赖算法递增(例如,它每秒增加100次ref),这些不是基于主机时钟/墙上时间。< / p>
答案 1 :(得分:0)
同意@VenkatC所说的话。请注意,标准(rfc1323)不指定时间戳值的单位。可以通过这种方式测量时间戳的单位:使用Wireshark,捕获tcp会话,查看PC发送的两个数据包,比较wireshark时间戳和TCP时间戳值字段之间的差异。这两个包。
在我的例子中,Wireshark时间戳差异是160ms,TCP头时间戳值的差异是40.因此单位是4ms。它可能与您的系统有所不同。