我正在使用C中的pcap并将EAPOL握手的长度与wirehark中的内容进行比较,并且使用pcap捕获的EAPOL数据包更长。奇怪的是,增加的长度是可变的,有些日子它增加了一个26字节的标题和一个4的页脚,产生一个185字节的数据包(而不是握手的第一个消息的wireshark中的155字节)。有些日子它增加了一个没有页脚的18字节标题,形成一个173字节的数据包。当它捕获一定长度的数据包时,它会保留整天的格式,第二天它会切换到另一个。 我已经阅读了这个Libpcap File Format,但这些标题的长度并没有填补空白,而wireshark并没有显示Radiotap Headers所以我想我没有。捕获的数据包始终位于相同的设备之间,wireshark始终返回相同的长度。 谁知道这里发生了什么?先谢谢你们!
根据要求,我添加了一些捕获的数据包示例。为了清楚起见,我将仅粘贴握手的第一条消息,并且仅针对185字节的情况,因为它是我今天得到的长度:
由pcap捕获(185字节)。 粗体:
中的额外字节数 00 00 1a 00 2f 48 00 00 f3 7c 7b 00 00 00 00 00 10 02 85 09 a0 00 db 01 00 00 88 02 3a 01 85 74 13 51 b4 a8 d8 b7 b8 17 92 81 d8 b7 b8 17 92 81 00 00 00 00 aa aa 03 00 00 00 88 8e 02 03 00 75 02 00 8a 00 10 00 00 00 00 00 00 00 03 ed 35 bb b6 7d d9 0a 43 ba aa 09 23 f1 f6 6e c9 25 f3 13 c3 91 1c cd ae f5 47 98 0e 6b 15 7a fe 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 16 dd 14 00 0f ac 04 c2 8c 80 68 37 d8 87 fa 37 ab bd 07 1f c3 96 ee的 cb f9 0b 91
如Wireshark(155字节)所示的EAPOL数据包:
88 02 3a 01 85 74 13 51 b4 a8 d8 b7 b8 17 92 81 d8 b7 b8 17 92 81 00 00 00 00 aa aa 03 00 00 00 88 8e 02 03 00 75 02 00 8a 00 10 00 00 00 00 00 00 00 03 ed 35 bb b6 7d d9 0a 43 ba aa 09 23 f1 f6 6e c9 25 f3 13 c3 91 1c cd ae f5 47 98 0e 6b 15 7a fe 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 16 dd 14 00 0f ac 04 c2 8c 80 68 37 d8 87 fa 37 ab bd 07 1f c3 96 ee