网络分析专家论坛 netexpert » Trace File专版 » 大家看看主体中这张图片有什么问题吗?

haiwanxue 发表于 2007-3-29 00:55

大家看看主体中这张图片有什么问题吗?

难道是wireshark的问题?
原来在ethereal时代没有问题

Vader 发表于 2007-3-29 00:56

要选#7 #10才明了

======================
last edit by Vader

haiwanxue 发表于 2007-3-29 01:01

好快的速度
没有明白vader的意思,是第二十帧吗?
附上trace[attach]13795[/attach]

Vader 发表于 2007-3-29 01:08

6是碎片的最后一帧，看上去挺合理的阿

haiwanxue 发表于 2007-3-29 01:13

[quote]原帖由 [i]Vader[/i] 于 2007-3-29 01:08 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=90016&ptid=14950][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
6是碎片的最后一帧，看上去挺合理的阿 [/quote]
IP layer flag set
more fragments:not set
这儿出了问题
应该为set,1

看hex显示界面,对应hex02

其他分析系统查看没有问题

fishyxq 发表于 2007-3-30 10:16

回复 #5 haiwanxue 的帖子

这个应当是清空arp表后发出的一个icmp的大包

在传输的过程中进行了分片，四个分片的id标识相同

[[i] 本帖最后由 fishyxq 于 2007-3-30 10:45 编辑 [/i]]

fishyxq 发表于 2007-3-30 10:23

icmp及分片信息

第一个数据报

大家注意ip层以下几个字段

ip：identification=11520   
在发送数据报前，发送者会给每个数据报一个id值，2字节，唯一的表示数据报或流。目标主机将利用此id进行数据报的重组。当源主机的ip进程从上层的tcp或udp收到的用于分组的大块数据流时，如果对与传输介质而言过大，就将其分片，属于统一流的数据段分配同一id。
在3、4、5、6及后面大家可以看到id值都有相同，表示被分片。

ip：flags
标志比特，3bit
第0bit＝预留
第1bit＝0（可以分段）；1（不可分段）
第2bit＝0（最后一段）；1（分段未完）

ip：fragment offset＝
发送主机以段偏移值表示数据报在发送的数据流中的位置，即用同一ip表示发送多个数据报时的顺序号。发送主机总是给第一个数据报的偏移赋值o，而后续的则是传输介质中分段的mtu大小为基础的数值。
接受主机收到后用此偏移值将这些数据报重组成一个流或者检查流中的数据报是否丢失。

[[i] 本帖最后由 fishyxq 于 2007-3-30 13:11 编辑 [/i]]

fishyxq 发表于 2007-3-30 10:24

第二个

同上图相比，id相同，也是未完的分段，但是段偏移为1480。同上图值相减，可判断mtp为1480

[[i] 本帖最后由 fishyxq 于 2007-3-30 10:53 编辑 [/i]]

Vader 发表于 2007-3-30 10:49

[quote]原帖由 [i]haiwanxue[/i] 于 2007-3-29 01:13 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=90019&ptid=14950][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]

IP layer flag set
more fragments:not set
这儿出了问题
应该为set,1

看hex显示界面,对应hex02

其他分析系统查看没有问题 [/quote]

那就是其他分析系统有问题
hex 02 的前三个bit，而不是全部字节

fishyxq 发表于 2007-3-30 10:57

第三个，同上

fishyxq 发表于 2007-3-30 10:59

最后一个，也就是上面两位大大讨论的地方:loveliness:


此处标志比特的第三个bit位为0，表示该段时数据流中的最后一个。

目标主机将接受的id相同的数据报再根据段偏移值进行顺序重组，此报由于标志比特位的第三个bit为0，所以放在最后。

打完收工。:)

此处不参与两位大大的讨论，仅给弟兄们做参看两位大大讨论的参考资料，呵呵！

部分资料提供于：tcp/IP primer plus 中文版
感谢haiwanxue 提供的 trace file,收之。

[[i] 本帖最后由 fishyxq 于 2007-3-30 11:19 编辑 [/i]]

haiwanxue 发表于 2007-3-30 15:28

也算误导,也算疑惑,也算发现

同一个trace,decode info显示大相庭径,我当时只在wireshark下看echo request/reply

Vader 发表于 2007-3-30 20:50

ethereal下你看了第三个包，wireshark下看了第6个，怎么会一样

jerry9924 发表于 2007-6-7 10:54

为什么　用户sniffer 与thereal 打开上述数据包显示的不太一样啊？

jcxnsh 发表于 2007-8-17 20:29

学习了，我用wireshark打开的，请问一下图中下面有两个分栏：Frame(1026 bytes) Reassembled IPv4(5608 bytes),这是什么意思啊？
[attach]15301[/attach]

fishyxq 发表于 2007-8-18 09:03

我的理解是：
当前选中的第6帧大小为1206个bytes，这个帧为分片帧（3、4、5、6帧），总共的大小为5608个bytes，详见7楼截图:)

fjsbf 发表于 2007-8-20 15:53

请 老大能否给小弟说下
                1：什么是MTP
                 2:怎么判断这个是清空arp表后发出的一个icmp的大包？

                 3.为什么在传输的过程中进行了分片呢？ 不分片的大小是多少 ？？

    （新手）

查看完整版本: 大家看看主体中这张图片有什么问题吗?