打印

为什么ethereal抓到小于60的包还不认为是错误包呢

compilecode

初来乍到

Rank: 1

精华: 0
积分: 9

发短消息
加为好友
当前离线

1^# 大中小发表于 2006-11-29 16:41 只看该作者

为什么ethereal抓到小于60的包还不认为是错误包呢

书上不时说64就是包最小的长度了吗

TOP

coolyukai

劳苦功高

Rank: 3 Rank: 3

精华: 0
积分: 129

发短消息
加为好友
当前离线

2^# 大中小发表于 2006-12-12 08:25 只看该作者

coolyukai

正是因为能在以太网中传输的包最小的包长为64 所以小于64的认为是错误包哦

TOP

webmedia

劳苦功高

Rank: 3 Rank: 3

精华: 1
积分: 468

发短消息
加为好友
当前离线

3^# 大中小发表于 2006-12-12 13:19 只看该作者

当太网中传输的frame长度不够64时会使用填充手段!
估计PC的普通网卡的驱动是会忽略填充数据的!
就像普通网卡不会把VLAN tag信息上传到OS内核一样.
参看:如何让sniffer程序在PC上抓到802.1Q Frame:
http://www.netexpert.cn/viewthread.php?tid=11776

使用下列过滤条件:
frame.pkt_len < 60

在ethereal下可以看到arp,tcp(fin,ack,)都是很小的包!

All gone with the wind!

TOP

chinit

初来乍到

Rank: 1

精华: 0
积分: 58

发短消息
加为好友
当前离线

4^# 大中小发表于 2007-1-19 18:51 只看该作者

恩并不是所有的驱动程序都会把小于64字节的填充到64

  drivers\net\e1000\
  我的机器用的这个驱动，浏览了下代码，没看到有填充，可能是我没看到

  但我写测试程序结果是，没有填充
  测试程序发送一个arp请求，请求222.222.222.222这个ip的mac地址

  下边who-has 222.222.222.222 (Broadcast) tell 111.111.111.111这个arp
请求是我的程序发出去的，注意它的长度，是没有填充过的
14 + 8 + 20 = 42字节

   tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:02.843498 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........
17:06:02.979678 arp who-has 192.168.14.215 tell 192.168.8.91
      0x0000:  ffff ffff ffff 0011 5be6 2a08 0806 0001  ........[.*.....
      0x0010:  0800 0604 0001 0011 5be6 2a08 c0a8 085b  ........[.*....[
      0x0020:  0000 0000 0000 c0a8 0ed7 2020 2020 2020  ................
      0x0030:  2020 2020 2020 2020 2020 2020          ............
17:06:03.043638 arp who-has 192.168.9.74 tell 192.168.8.8
      0x0000:  ffff ffff ffff 00c0 9f40 48e6 0806 0001  .........@H.....
      0x0010:  0800 0604 0001 00c0 9f40 48e6 c0a8 0808  .........@H.....
      0x0020:  0000 0000 0000 c0a8 094a 0000 0000 0000  .........J......
      0x0030:  0000 0000 0000 0000 0000 0000          ............
17:06:03.744124 arp who-has 192.168.9.23 tell 192.168.8.20
      0x0000:  ffff ffff ffff 0040 0513 61e3 0806 0001  .......@..a.....
      0x0010:  0800 0604 0001 0040 0513 61e3 c0a8 0814  .......@..a.....
      0x0020:  0000 0000 0000 c0a8 0917 9e5f 0b15 5018  ..........._..P.
      0x0030:  43d8 30c4 0000 0000 0054 ff53          C.0......T.S
Quit

本帖最近评分记录

scz 威望 +15 您的发言很有意义 2007-1-24 08:35

TOP

scz

版主

Rank: 7 Rank: 7 Rank: 7

精华: 7
积分: 3500

发短消息
加为好友
当前离线

5^# 大中小发表于 2007-1-22 16:50 只看该作者

引用:

原帖由 chinit 于 2007-1-19 18:51 发表
恩并不是所有的驱动程序都会把小于64字节的填充到64

  drivers\net\e1000\
  我的机器用的这个驱动，浏览了下代码，没看到有填充，可能是我没看到

  但我写测试程序结果是，没有填充
  测试程序发送一 ...

你用tcpdump -n -s 1514 -w arp.cap ... 抓一些包贴上来看看

说了世上一无牵挂为何有悲喜
说了朋友相交如水为何重别离
说了少年笑看将来为何常回忆
说了青春一去无悔为何还哭泣

TOP

failaway

劳苦功高

Rank: 3 Rank: 3

牛脾气.....要改~~~~

精华: 1
积分: 335

发短消息
加为好友
当前离线

6^# 大中小发表于 2007-1-23 10:05 只看该作者

网络上很多小于64字节的数据包
如PPPoE,最小好像36还是34字节,忘了.....

静以修身,俭以养德

TOP

chinit

初来乍到

Rank: 1

精华: 0
积分: 58

发短消息
加为好友
当前离线

7^# 大中小发表于 2007-1-23 13:08 只看该作者

[root@stat07 tmp]# tcpdump -n -s 1514 -w arp.cap host 111.111.111.111
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1514 bytes
5 packets captured
5 packets received by filter
0 packets dropped by kernel
[root@stat07 tmp]# tcpdump -xxx -r arp.cap
reading from file arp.cap, link-type EN10MB (Ethernet)
13:07:25.235310 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........
13:07:27.236293 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........
13:07:29.238038 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........
13:07:31.239788 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........
13:07:33.241534 arp who-has 222.222.222.222 (Broadcast) tell 111.111.111.111
      0x0000:  ffff ffff ffff aaaa aaaa aaaa 0806 0001  ................
      0x0010:  0800 0604 0001 aaaa aaaa aaaa 6f6f 6f6f  ............oooo
      0x0020:  ffff ffff ffff dede dede                ..........

TOP

scz

版主

Rank: 7 Rank: 7 Rank: 7

精华: 7
积分: 3500

发短消息
加为好友
当前离线

8^# 大中小发表于 2007-1-23 16:23 只看该作者

引用:

原帖由 chinit 于 2007-1-23 13:08 发表
# tcpdump -n -s 1514 -w arp.cap host 111.111.111.111
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1514 bytes
5 packets captured
5 packets received by filter
0 packets ...

我倒，是说你存成cap文件，然后用附件形式贴上来，并不是想看你的这个屏幕输出啊。

说了世上一无牵挂为何有悲喜
说了朋友相交如水为何重别离
说了少年笑看将来为何常回忆
说了青春一去无悔为何还哭泣