wireshark抓的包怎么分析
发布网友
发布时间:2022-06-05 18:02
我来回答
共1个回答
热心网友
时间:2023-11-29 17:48
以太网帧头:目的mac+源mac+报文类型。对应ip包而言,报文类型是0800,所以0800是以太网帧头的结尾部分
IP报文头:大部分都是以4500开头的,4表示ipv4版本,5表示IP头长度是5个LW(20bytes),00是用来表示报文优先级的。可以通过找4500来确定ip头的起始位置
http协议报文的每一行要以回车和换行结束,回车和换行缓存ASCII码就是0d0a,所以可以通过0d0a来判断这是一行http内容的结尾。
楼主贴出的报文内容已0d0a结尾,应该是属于http内容。
要想查看以太网帧头和ip头的话,应该去更前面的报文内容中找