我正在使用wireshark。我使用wireshark用FCS嗅探数据包并保存到HardDisk中的pcap文件中。在运行时,它可以知道是否包含FCS。但我怀疑的是,当我使用wireshark打开一个保存的pcap文件时,它是如何知道是否使用FCS捕获保存的文件? wireshark如何通过FCS区分文件? pcap文件中是否有任何变量可以知道这个?
答案 0 :(得分:1)
当我使用wireshark打开保存的pcap文件时,它是如何知道是否使用FCS捕获保存的文件?
它不知道。 猜测,基于:
如果以太网数据包看起来比没有 FCS的那么长4个八位字节,那么Wireshark认为这4个八位字节是FCS。
wireshark如何使用FCS区分文件?
某些文件格式始终包含FCS,某些文件格式从不包含FCS,某些文件格式(如pcap)可能包含也可能不包含FCS。处理不同捕获文件格式的代码表示实际读取文件的Wireshark中的代码。
pcap文件中是否有任何变量可以知道这个?
不幸的是,不,没有,这就是为什么Wireshark必须猜测的。
如果802.11存在管理数据包,我们无法知道数据包的确切长度,因为存在可变长度的信息元素。在那种情况下,Wireshark如何猜测FCS?
没有。
对于802.11,与以太网一样,某些文件格式始终包含FCS,某些文件格式从不包含FCS,某些文件格式(如pcap)可能包含也可能不包含FCS。处理不同捕获文件格式的代码表示实际读取文件的Wireshark中的代码。
对于可能包含或不包含FCS的文件格式: