Tcp 奇怪的IP包分析?
我使用tcpdump捕获一些tcp数据包,当根据ip/tcp数据包模式分析它们时,数据包似乎被破坏了。这是我从tcpdump输出中得到的一个示例数据包。有人熟悉他们吗 在ipv4下,ip数据包的前4位不应该总是0100吗 ip数据包: 一些例子: 前14个字节来自链路层(EN10MB)。IP层仅以Tcp 奇怪的IP包分析?,tcp,ip,Tcp,Ip,我使用tcpdump捕获一些tcp数据包,当根据ip/tcp数据包模式分析它们时,数据包似乎被破坏了。这是我从tcpdump输出中得到的一个示例数据包。有人熟悉他们吗 在ipv4下,ip数据包的前4位不应该总是0100吗 ip数据包: 一些例子: 前14个字节来自链路层(EN10MB)。IP层仅以4500开始,其中4(二进制0100)是描述版本号的前4位,即IP版本4 正如David Hoelzer在评论中指出的,OP使用的-XX选项明确请求这些链路层数据。从tcpdump的文档中引用: -XX
4500开始,其中4(二进制0100)是描述版本号的前4位,即IP版本4
正如David Hoelzer在评论中指出的,OP使用的-XX
选项明确请求这些链路层数据。从tcpdump的文档中引用:
-XX在解析和打印时,除了打印每个数据包的标题外,还以十六进制和ASCII打印每个数据包的数据,,包括其链接级标题
前14个字节来自链路层(EN10MB)。IP层仅以4500开始,其中4(二进制0100)是描述版本号的前4位,即IP版本4
正如David Hoelzer在评论中指出的,OP使用的-XX
选项明确请求这些链路层数据。从tcpdump的文档中引用:
-XX在解析和打印时,除了打印每个数据包的标题外,还以十六进制和ASCII打印每个数据包的数据,,包括其链接级标题
值得一提的是,双X是导致链接层以十六进制显示的原因。OP可能没有意识到这并不总是显示出来。:)值得一提的是,双X是导致链接层以十六进制显示的原因。OP可能没有意识到这并不总是显示出来。:)
13:11:43.330397 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
172.16.0.14.16668 > 36.24.146.114.64853: Flags [S.], cksum 0xdc0f (correct), seq 3029391223, ack 129060479, win 14480, options [mss 1460,sackOK,TS val 1254469916 ecr 1492278057,nop,wscale 6], length 0
0x0000: feee 809f 3247 5254 0054 aa9f 0800 4500 ....2GRT.T....E.
0x0010: 003c 0000 4000 4006 d813 ac10 000e 2418 .<..@.@.......$.
0x0020: 9272 411c fd55 b490 d777 07b1 4e7f a012 .rA..U...w..N...
0x0030: 3890 dc0f 0000 0204 05b4 0402 080a 4ac5 8.............J.
0x0000: feee 809f 3247 5254 0054 aa9f 0800 4500 ....2GRT.T....E.