Видя пакеты Wireshark, которые меньше, чем они должны быть

Question

При попытке проанализировать файлы .pcap из wireshark, собирая TCP-пакеты.Я пытаюсь проанализировать эти файлы, используя информацию, указанную здесь: https://wiki.wireshark.org/Development/LibpcapFileFormat

Пакеты TCP, отправляемые через, имеют параметрическое состояние размера пакета.Однако часто этот размер больше, чем заголовок пакета wireshark, установленный поверх каждого пакета.Однако эти размеры пакетов намного меньше, чем глобальный заголовок пакета привязки (который, если я понимаю, является наибольшим, который может быть захваченный пакет).

Есть ли свойство TCP, которое я не вижу?Я не понимаю, как wireshark может захватывать меньше, чем сам размер пакета.

Answer 1

Я собираюсь предположить, что вы захватываете пакеты на определенном хосте (Host B в этом примере: https://wiki.wireshark.org/CaptureSetup/Ethernet#Capture_on_the_machine_you.27re_interested_in),, и некоторые из этих пакетов, переданных с Host B, имеют меньший размер, чем выПредположим, что так оно и есть, потому что Wireshark передает пакеты с помощью механизма захвата до . Все необходимые дополнения добавляются контроллером из-за аппаратной разгрузки.

Для дальнейшего чтения янаправить вас к сообщению в блоге Джаспера Бонгерца, Недостатки локальных захватов пакетов .