Wireshark Unterschiedliche Paketlänge
geschrieben am 29.12.2007 um 23:16 von mac29
Hallo
Ich habe folgendes Problem: Bei der Analyse mit Wireshark zeigt er auf der ersten Ebene eine folgendes an:
Frame 31502 (77 bytes on wire, 77 bytes captured)
Im IP Header zeigt er mir dann die Gesamtlänge folgendermasen an:
Header length: 20 bytes
Total Length: 63
Wie komme ich nun auf die totale Framelänge von 77 bytes?? Ich sehe da den Zusammenhang nicht .
Danke für die Hilfe.
Gruss Mac29
geschrieben am 30.12.2007 um 16:54 von bewa
Re: Wireshark Unterschiedliche Paketlänge
Wie komme ich nun auf die totale Framelänge von 77 bytes??
Pflücken wir es mal auseinander.
Frame 31502 (77 bytes on wire, 77 bytes captured)
-> Da siehst du die Gesamtlänge "on the wire", also die Länge des Paketes, das über das Netz gesendet wird. (77 Bytes, alle konnten aufgezeichnet werden.)
Header length: 20 bytes
Total Length: 63
Von diesen 77 Bytes sind also insgesamt 63 Bytes zugehörig zum IP-Paket.
Davon sind wiederum 20 Bytes (das ist die übliche Länge) IP-Header.
-> Also sind 63 - 20 = 43 Bytes aus IP-Sicht "Payload" drin. Das können reine Nutzdaten sein, aber auch ein anderes Protokoll, das IP nutzt. (Zum Beispiel UDP.)
Nun sind noch 77 - 63 = 14 Bytes über... Das ist genau die Länge eines Ethernet-Headers. Da du vermutlich eine Ethernet-Netzwerkkarte benutzt hast, passt das ganz gut. Die 14 Bytes zerfallen in dieser Reihenfolge (und nur bei "Ethernet-II-Headern") in:
6 Bytes Source-MAC und 6 Bytes Destination MAC
2 Bytes Ethernet Type.
-> Macht die fehlenden 14 Bytes. (Wenn du 802.1q-VLANs einsetzen würdest, wären es 18 Bytes.)
Theoretisch folgen noch am Schluss 4 Byte FCS (Fehlerkorrektur), aber die hat dein Treiber wahrscheinlich schon entsorgt.
geschrieben am 31.12.2007 um 00:31 von mac29
alles klar, habe beim Ethernet-Header den Type "vergessen", daher kam ich immer nur auf die 12 Bytes und nicht auf 14 Bytes...
Besten Dank.
geschrieben am 31.12.2007 um 11:48 von bewa
alles klar, habe beim Ethernet-Header den Type "vergessen", daher kam ich immer nur auf die 12 Bytes und nicht auf 14 Bytes...
Besten Dank.
Gerne, kein Problem. Ethernet-Header sind immer 14 Bytes, außer wenn ein .1q-Tag für VLANs drin ist, dann sind es 18 Bytes.
geschrieben am 24.10.2009 um 20:04 von loosero
Hallo!
Warum kann ich einen Ping absetzen mit 1 byte:
H:\>ping -l 1 194.48.124.200
Pinging 194.48.124.200 with 1 bytes of data:
Reply from 194.48.124.200: bytes=1 time=159ms TTL=250
Reply from 194.48.124.200: bytes=1 time=157ms TTL=250
Reply from 194.48.124.200: bytes=1 time=157ms TTL=250
Reply from 194.48.124.200: bytes=1 time=157ms TTL=250
beim Whireshark wenn ich mitsniffe bekomme ich:
Frame 4428 (43 bytes on wire, 43 bytes captured)
Header length: 20 bytes
Total Length: 29
Data (1 byte)
Ein Ethernetframe muss doch mind. 64Byte groß sein???
Kann mir das jemand erklären???
Danke schonmal im vorraus, ich komm einfach nicht dahinter....
bin am verzweifeln ;(
Ciao Oliver
geschrieben am 25.10.2009 um 11:00 von Mirko
Warum kann ich einen Ping absetzen mit 1 byte:
Die Angabe bezieht sich auf die Nutzlast im ICMP-Teil.
Ein Ethernetframe muss doch mind. 64Byte groß sein?
Korrekt. Das Padding auf 64 Byte erledigt erst der Treiber. Daher ist das PAD-Field im Wireshark nicht zu sehen.
Mirko
geschrieben am 25.10.2009 um 16:04 von loosero
Danke für die Antwort hast mir sehr sehr geholfen!!!!!
[ Dieses Thema im Live-Forum aufrufen ]
|