标签:tcp报文 sha byte www com 文本 请求 stat 分析
以太网报文的结构如下:
其中,以太网的帧头:
14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B。
IP头部:
TCP头部:
http://blog.163.com/tianshuai11@126/blog/static/618945432011101110497885/
http://www.cnblogs.com/zhuzhu2016/p/5797534.html
也就是报文的头部一共有54字节。下面以一个简单的http请求查看以太网报文的实际情况,如下:
报文头54字节的内容如下:
应用数据,就是tcp segment,本tcp报文体长度tcp segment len。
对于tcp流,在wireshark中,可右键报文条目,追踪流自动踢掉头部信息,如下:
这样可以只显示报文体数据,如下:
这样,明显对于文本流比如HTTP,完全可以分析简化很多。
标签:tcp报文 sha byte www com 文本 请求 stat 分析
原文地址:http://www.cnblogs.com/zhjh256/p/6340954.html
