0
У меня есть большое замешательство в отношении tshark.Некоторые недоумения в отношении tshark (wirehark)
Какова основная единица сообщений, полученных tshark? Ip, tcp или http? Я вижу TCP http или ssl и т. Д. В столбце протокола в wirehark.
Эти протоколы находятся в разных слоях.
Кроме того, что такое команда tshark для захвата сообщения http с помощью tshark.
Tux ~~. Некоторые данные, предоставленные wirehark: Кадр 210114: 342 байта на проводе (2736 бит), захвачено 342 байта (2736 бит) на интерфейсе 0 Ethernet II, Src: H_a4: a0: 43 (0c: d0: 42: a3: 40:43), Dst: IntelCor_c0: 4d: 01 (5c: e0: c5: c0: 4d: 01) Протокол Интернета версии 4, Src: 10.10.40.138 (10.10.40.138), Dst: 10.97.28.50 (10.97. 28.50) Итак, я думаю, что так называемый блок «frame» в wirehark, а не tcp или udp. Может быть, еще один проткол (например, ICMP) тоже хорошо? –
ОК, поэтому ICMP фактически будет другим протоколом, но кадр является частью пакета, как показано здесь [https://en.wikipedia.org/wiki/Ethernet_frame), пакет передает Ethernet-кадр, поскольку он полезен , Wireshark захватывает и отображает информацию о пакетах (включая фрейм). – iLoveTux
Почему номер кадра не является непрерывным? Пакет tcp может состоять из нескольких кадров, но только один кадр в wirehark. –