我正在尝试使用Wireshark分析TCP流量。目前,我正在努力更好地了解所提供的时间字段,即frame.time_relative和tcp.time_relative。
阅读文档并将跟踪转储到JSON文件中:
tshark -r trace.raw -T json -e frame.time_relative -e frame.time_delta -e tcp.time_relative -e tcp.time_delta
我得到frame.time_relative和tcp.time_relative相同的印象。那是对的吗?如果是这样,为什么它们都存在?
提前致谢。
答案 0 :(得分:0)
frame.time_relative给出了自收到第一帧以来的时间,而tcp.time_relative给出了自收到第一帧以来的时间TCP会话。由于您在TCP会话中可能有多个数据包,tcp.time_relative可能会引用先前的数据包(tcp.time_relative >= frame.time_relative)。