以太網報文的結構如下:
其中,以太網的幀頭:
14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B。
IP頭部:
TCP頭部:
http://blog.163.com/tianshuai11@126/blog/static/618945432011101110497885/
http://www.cnblogs.com/zhuzhu2016/p/5797534.html
也就是報文的頭部一共有54字節。下面以一個簡單的http請求查看以太網報文的實際情況,如下:
報文頭54字節的內容如下:
應用數據,就是tcp segment,本tcp報文體長度tcp segment len。
對於tcp流,在wireshark中,可右鍵報文條目,追蹤流自動踢掉頭部信息,如下:
這樣可以只顯示報文體數據,如下:
這樣,明顯對於文本流比如HTTP,完全可以分析簡化很多。