尝试从Wireshark解析.pcap文件时,收集TCP数据包。我正在尝试使用此处列出的信息来解析这些文件:https://wiki.wireshark.org/Development/LibpcapFileFormat
正在发送的TCP数据包具有参数大小的准状态。但是,此大小通常大于在每个数据包顶部设置的wireshark数据包头。但是,这些数据包的大小要比快照len全局数据包头小得多(据我了解,这是捕获的最大数据包)。
我没有看到TCP的属性吗?我不明白Wireshark如何捕获到比数据包大小还小的数据包。
答案 0 :(得分:2)
我猜您正在捕获特定主机上的数据包(在此示例中为https://wiki.wireshark.org/CaptureSetup/Ethernet#Capture_on_the_machine_you.27re_interested_in),而从Host B传输的某些数据包是尺寸比您预期的要小。假设是这种情况,这是因为在之前,Wireshark由捕获机制处理了数据包,由于硬件卸载,控制器添加了任何必要的填充。
为进一步阅读,我将您带到Jasper Bongertz的博客文章The drawbacks of local packet captures。