12

使用 tcpdump 时,我似乎看不到捕获的所有数据。具体来说,我似乎从帧的头部丢失了 6 个字节,我想知道是否有人可以解释原因。

为了说明,我在仅主机网络配置中在 VMWare 上设置了一个 Ubuntu 实例。为了生成流量,我 ping VMWare 网关......在我的例子中:

$ ping 192.168.153.1

现在捕获并打印数据:

$ tcpdump -i eth0 -x -s 64
...
10:23:24.419067 IP 192.168.153.1 > ubuntu.local: ICMP echo reply, id 2959, seq 137, length 64
    0x0000:  4500 0054 2313 4000 4001 63bf c0a8 9901
    0x0010:  c0a8 9984 0000 af80 0b8f 0089 0cb2 294e
    0x0020:  1d64 0600 0809 0a0b 0c0d 0e0f
10:23:25.418807 IP ubuntu.local > 192.168.153.1: ICMP echo request, id 2959, seq 138, length 64
    0x0000:  4500 0054 0000 4000 4001 86d2 c0a8 9984
    0x0010:  c0a8 9901 0800 df7f 0b8f 008a 0db2 294e
    0x0020:  e463 0600 0809 0a0b 0c0d 0e0f

正如所料,此时显示的总字节数不是 64;数据链路标头被隐藏,IP 字节最先出现,即“4500”。为了显示数据链接头字节,我添加了另一个 x。

$ tcpdump -i eth0 -xx -s 64
...
10:29:29.523043 IP 192.168.153.1 > ubuntu.local: ICMP echo reply, id 2959, seq 501, length 64
    0x0000:  000c 292a 4f6c 0050 56c0 0001 0800 4500
    0x0010:  0054 b305 4000 4001 d3cc c0a8 9901 c0a8
    0x0020:  9984 0000 007d 0b8f 01f5 79b3 294e 5cfa
    0x0030:  0700 0809 0a0b 0c0d 0e0f
10:29:30.522884 IP ubuntu.local > 192.168.153.1: ICMP echo request, id 2959, seq 502, length 64
    0x0000:  0050 56c0 0001 000c 292a 4f6c 0800 4500
    0x0010:  0054 0000 4000 4001 86d2 c0a8 9984 c0a8
    0x0020:  9901 0800 f77b 0b8f 01f6 7ab3 294e 5cfa
    0x0030:  0700 0809 0a0b 0c0d 0e0f

现在显示了更多字节。我认为它们是以太网帧头的 14 个字节(目标,源 MAC + ethertype = 14 个字节)。相应地,IP 标头现在从 14 个字节开始。

但是为什么仍然缺少 6 个字节?请注意,只显示了 58 个字节 - 我希望 64 个字节可见。

4

2 回答 2

7

尝试使用 tcpdump-s0

我试过这个,它对我有用..(这只是一个你只需要-s0的例子)

tcpdump -X -s0 port 21

于 2011-11-27T23:26:30.210 回答
2

最小以太网帧大小为 64 字节。当有效载荷太小时,以太网将填充其内容。IP 标头的总长度值将用于确定填充的开始位置,该填充将被丢弃,因此不会由 Tcpdump 显示。

于 2012-12-26T21:37:52.107 回答