CSNA网络分析论坛»首页 流量分析 网络分析 本机发出的数据包,有的没有FCS
返回列表 发帖
查看: 4002|回复: 8

本机发出的数据包,有的没有FCS

[复制链接]
oldjiang
发表于 2008-1-10 17:45:45 | 显示全部楼层 |阅读模式
HTTP.PNG中,3号有,另外三个则没有;FTP.PNG有,FTP2.PNG没有。今天观察了几次,HTTP下客户端发出的TCP标志为A或AF的几乎都没有,标志为AP的有(数据没有保存下来)。FCS一项,为何时有时无?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
 楼主| 发表于 2008-1-10 17:51:54 | 显示全部楼层
写错了,应该是FTP.PNG没有FCS,FTP2.PNG有
回复

使用道具 举报

oldjiang
 楼主| 发表于 2008-1-10 23:09:11 | 显示全部楼层
补充一个晚上抓的图,抓了上万个包,凡是客户端发出的TCP标志含有A的大小64字节的都没有FCS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

xwy3260
发表于 2008-1-11 10:30:49 | 显示全部楼层
首先可以肯定的这种情况是正常的!
我们都知道,在以太网中,小于64和在于1518字节的数据包都是非正常的数据包,帧校验序列(Frame Check Sequence,FCS)采用循环冗余校验对从"目标MAC地址"字段到"数据"字段的数据进行校验。我们可以看到没有FCS的数据包都是小于64字节的。如下图:

之所以在科来网络分析系统中捕获是等于64字节,这是由网卡填充的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
 楼主| 发表于 2008-1-11 13:13:21 | 显示全部楼层
1、版主说的“目标MAC地址”是不是第一个红圈所示?就是从包的开始
2、"数据"字段是哪里呢?图中第二个红圈的HTTP吗?应该是
3、做镜像看其他机器的包,TCP连接第三步确认包,都有FCS,跟本机的区别是有6字节的额外数据(都是0),俘获长度是60,如图0111-2.PNG。
4、我的理解是:本机的包在填充之前就被俘获了,对否?
5、0111-3是本机的FTP同步包,应该也没有“数据”吧,长度是14+20+28=62,有FCS
6、填充、FCS都是真实存在的吧?是由谁在哪个环节做的呢?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

xwy3260
发表于 2008-1-12 12:37:32 | 显示全部楼层
楼主的理解非常正确,赞一下!
楼主的第五个问题,建议查看一下TCP选项的相关知识。
而数据的填充是由网卡完成的。
回复

使用道具 举报

oldjiang
 楼主| 发表于 2008-1-12 17:07:42 | 显示全部楼层
,我正在慢慢学
回复

使用道具 举报

oldjiang
 楼主| 发表于 2008-1-15 19:40:47 | 显示全部楼层
请版主贴一些TCP选项的资料,选项,序列号,标志等联系紧密
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表