我正在对一个人的计算机中的所有tcp流量实现嗅探器。我遇到了这个奇怪的案例——当转到Amazon.com时，保存HTML的TCP不会以SYN标志开头。在WireShark中，我右键单击其中一个数据包，然后按FollowTCPStream结果如下:-发生了什么事？我知道所有TCP流都应该以3次握手开始。 最佳答案 Whatishappening?由于我们无法重放流，并且数据包498发生在捕获开始后大约2.1秒，我们只能猜测...但是，最可能的情况是:在按下wireshark中的捕获之前，您启动了与Amazon的TCP套接字套接字在您在

为什么我们需要TCP头中的序列号和下一个序列号字段？下面是使用wireshark捕获的数据包中的TCPheader。 最佳答案 首先，Wireshark中[brackets]中的字段是计算字段-它们不在数据包中。Wireshark显示的下一个序列号字段就是这样一个字段。Wireshark通过获取“序列号”字段并将其添加到数据包的有效负载大小来计算。毫不奇怪，这两个数字之间的差异是1430——一个常见的TCP负载大小。TCP中的序列号以字节为单位-它们基本上表示，此数据包的有效负载插入TCP流中的哪个字节位置。“已确认”序列号显示我确

Here是ARP请求PNG图像的wireshark捕获，我在ARP数据包中包含发件人MAC。接收站可以从以太网帧中导出MAC。这似乎是多余的。在ARP请求中单独包含发送者MAC地址是否有任何特殊用途？ 最佳答案 “冗余”是设计使然(RFC826)，可用于针对不同层。在RFC3927中有所谓的无偿地址解析协议(protocol)(GARP)，在某些情况下，冗余或缺失起着重要作用，尤其是在故障排除和监控网络堆栈方面。实际上这根本不是冗余，MAC(物理，第2层)和IP(逻辑，第3层)地址不是一回事。它们在不同的网络层上有不同​​的用途。在

当我对HTTP使用显示过滤器时，当HTTP消息位于标准端口(即端口80)时，它仅显示HTTP数据包。但是，当消息未使用标准端口时，显示过滤器不适用于HTTP，我需要过滤TCP，然后需要手动查找HTTP数据包。我想知道为什么会这样？这是标准行为还是我做错了(或期望)。谢谢。 最佳答案 我必须通过执行以下操作来启用HTTP协议(protocol):“分析->启用的协议(protocol)”Thissolutionwasforversion1.12.2(anddisabledbydefaultinversion2.0.2)butshoul

我是在Lua中编写解析器的新手，我有两个简短的问题。我有一个包含TCP选项的数据包，如MSS、TCPSACK、时间戳、NOP、窗口比例、未知。我基本上是在尝试剖析TCP选项字段中的未知部分。我知道我将不得不使用链式解剖器。第一个问题是在使用链式解析器解析TCP选项时，我是否必须从头解析所有选项。例如，我是否需要解析MSS、TCPSACK、...，然后最终解析未知部分，或者是否有任何直接方法可以让我跳转到未知部分。我的第二个问题是我已经看过许多自定义协议(protocol)解析器的代码，如果我需要解析遵循(例如)TCP的协议(protocol)，那么我必须包括以下内容:--loadthe

我想写一个应用层嗅探器(SMTP/ftp/http)。根据我的搜索，第一步(也许是最难的!)步骤是重新组装嗅探连接的tcp流。确实，我需要的是类似wireshark的“跟随TCP流”选项的东西，但我需要一个在实时界面上自动执行此操作的工具。据我所知，Tshark可以自动从保存的pcap文件中提取TCP流数据(link)，但不能从实时接口(interface)中提取。Tshark可以在实时界面上执行吗？？？据我所知，TCPflow可以做我想做的，但是，它不能处理IP碎片整理和SSL连接(我想在我有服务器私钥的情况下分析SSL内容)。最后，我也试试bronetworkmonitor。虽然它

在web开发中，我通常使用Firebug。但是现在我必须使用Wireshark来监视由Android模拟器发送的Http请求。Wireshark是一个很棒的工具，但是对于我正在做的事情来说它太胖了，而且复制/粘贴请求非常痛苦。所以我在LinuxUbuntu上寻找更简单的替代方案。 最佳答案 由于GUI前端，Wireshark非常臃肿；但是它有一个名为tshark的文本版本使用更少的内存...语法非常类似于tcpdump...要捕获发送到192.168.12.14上的网络服务器和从网络服务器发送的数据包，请使用此...tshark-n

我正在使用以下代码按端口捕获传入和传出的tcp数据包:tcpdump-iany-s0-vvv-Aport3727orport5016orport3724-w/home/admin/dump1.cap但是tcpdump只捕获传入的数据包，我需要同时传入和传出数据包。有人知道我的错误在哪里吗？提前致谢。 最佳答案 tcpdump-iany-s0-vvv-Aport3727orport5016orport3724--direction=in--direction=out-w/home/admin/dump1.cap--direction=

我是wireshark和一般网络的新手，但我正在监控我的应用程序的流量，我可以对其进行过滤，这样我就可以看到它何时主动传输它应该与服务器传输的数据，但wireshark显示这个:protocol=TCPlength=54info=56705>ms-wbt-server[ACK]Seq=1Ack=61Win=252Len=0每秒从我的应用程序触发到我的应用程序服务器。为什么我的应用程序每秒都在发送这些数据包？如果有任何帮助的话，这是一个c#.net应用程序。 最佳答案 这是一个TCPkeepalive数据包，不包含任何数据，但设置了A

我使用的工具之一使用加密/解密通过网络发送数据。我正在修改该工具，我需要确保数据实际上是以加密形式发送的。是Wireshark和tcpdump正确的工具？他们在传输过程中的哪个点捕获网络数据包？ 最佳答案 简短回答:数据包在软件网络堆栈的最末端被窃听(例如在Linux中)。在tcpdump、libpcap和linux内核3.12中挖掘代码的长答案:Wireshark和tcpdump都使用了libpcap，例如，http://sources.debian.net/src/tcpdump/4.5.1-2/tcpdump.c#L1472i