|
|
51CTO旗下网站
|
|
移动端

5.6 数据包长度

《Wireshark数据包分析实战(第2版)》第5章Wireshark高级特性,本章我们将会从这些强大的功能特性中挑选一些进行介绍,其中包括端点和会话窗口、名字解析的细节、协议解析、数据流跟踪、IO图形化等。本节为大家介绍数据包长度。

作者:诸葛建伟 等译来源:人民邮电出版社|2013-03-21 13:46

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

5.6  数据包长度

一个或一组数据包的大小可以告诉你很多情况。在正常情况下,一个以太网上的帧最大长度为1518字节,除去以太网、IP以及TCP头,还剩下1460字节以供应用层协议的头或者数据使用。基于此,我们可以通过一个捕获文件中数据包长度的分布情况,做一些对流量合理的猜测。

文件download-slow.pcap就是一个很好的例子。打开文件后,选择Statistics-> Packet Lengths,然后单击Create Stat,就会出现一个如图5-12所示的结果窗口。

我在大小为1280~2559字节的数据包统计数据区域标了高亮。这些较大的数据包通常是用于传输数据,而较小的数据包则是协议控制序列。在这个例子中,我们看到较大的数据包占了相当大的比重(66.43%)。即使不看这个文件中的数据包,我们仍然可以知道捕获中包含了一个或多个数据传输流量。这可能是HTTP下载、FTP上传,或者其他类型在主机之间进行数据传输的网络通信。

大多数剩下的数据包(33.44%)都是在40~79字节之间,而处于这个范围的数据包通常不包含数据的TCP控制数据包。我们可以想一下协议头一般的大小。以太网头是14字节(包含4字节CRC),IP头最小20字节,没有数据以及选项的TCP数据包也是20字节,也就意味着典型的TCP控制数据包--例如TCP、ACK、RST和FIN数据包--大约是54字节并落入了这个区域。当然IP或TCP的额外选项会增加这个大小。

查看数据包长度是一个概览捕获文件的好方法。如果存在着很多较大的数据包,那么很大的可能便是进行了数据传输。如果绝大多数的数据包都很小,我们便可以假设这个捕获中存在协议控制命令,而没有传输大规模的数据。尽管这不是一个必需的操作,但在深入分析前做一些类似的假设,有时还是很保险的。

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网络技术应试辅导(三级)

本书根据教育部考试中心2004年最新发布的《全国计算机等级考试大纲》编写,针对计算机等级考试三级网络技术各方面的考点进行讲解和训练。本...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊