- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
Wireshark 何时对数据包加时间戳?完全接收一帧后?或者已经在接收帧的第一个字节?我阅读了以下关于 Wireshark timestamps 的描述但该文本仅说明:“在捕获数据包时,每个数据包在进入时都带有时间戳”。
考虑以下场景和准确的操作系统时间:
发送方----> Wireshark ----> 接收方
发送方在时间 x 开始传输帧。在时间 y(y = 传输开始 x + 帧长度/链路速度)在接收器处完全接收到帧。捕获的帧会出现在 Wireshark 中,时间戳接近 x 还是 y?
此致,
乔纳斯
最佳答案
嗯,Wireshark 不会对数据包本身进行时间戳;它依赖于 libpcap 来完成它们,并且在几乎所有操作系统上,libpcap 也不会给它们自己加上时间戳,也不是操作系统的数据包捕获机制,就像 libpcap 使用的那样。主要的异常(exception)是 Windows,其中 WinPcap 必须在内核中提供自己的捕获机制,在 NDIS 之上,但该机制的行为与大多数 UN*X 内部的机制非常相似,并且会提供类似的行为。 (另一个异常(exception)是 HP-UX,其中操作系统的捕获机制根本不为数据包添加时间戳,因此 libpcap 会这样做;它给出的答案与其他操作系统有些相似,但在数据包之前可能会有更长的延迟有时间戳。)
如果 Wireshark(或任何其他数据包嗅探器!)在发送方上运行,数据包将在操作系统内“环绕”并交给捕获机制;时间戳可以在发送方开始传输数据包之前应用,但时间戳将更接近 x 而不是 y。
如果 Wireshark(或任何其他数据包嗅探器)在接收器上运行,则在接收到整个数据包后的某个时间应用时间戳;这可能涉及由于数据包排队、中断被“批处理”、在数据包加时间戳之前完成的一些网络堆栈处理等而导致的延迟。时间戳将更接近 y 而不是 x。
如果 Wireshark(或任何其他数据包嗅探器)在第三台机器上运行,被动嗅探网络,则时间戳可能更接近 y 而不是 x,但由于接收器和嗅探器是不同的机器,因此存在差异可能会在不同的时间看到数据包,有不同的接收代码路径等。
关于wireshark - Wireshark 时间戳什么时候捕获数据包?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16676095/
Wireshark 何时对数据包加时间戳?完全接收一帧后?或者已经在接收帧的第一个字节?我阅读了以下关于 Wireshark timestamps 的描述但该文本仅说明:“在捕获数据包时,每个数据包在
在我们的团队中,我们有一个标准化的开发设置,我们有一个 Win8 工作站,在 Hyper-V 上运行各种虚拟机。所有开发都在虚拟机上进行。 我遇到了一个问题,我无法使用 VS2012 从 Team F
我对 Wireshark 中的抖动计算方法有疑问。 Wireshark 根据 RFC3550 (RTP) 计算抖动: 如果 Si 是数据包 i 的 RTP 时间戳,Ri 是数据包 i 在 RTP 时间
我正在尝试使用以下选项从 cli 启动 wireshark... wireshark -k -i eth2 -a filesize:1000000 -f 我遇到的问题是我想使用预定义的wiresha
我们通过 WireShark 使用 JN5148EK010 节点捕获流量。收到的数据包显示在提供的屏幕截图中。 我想知道如何解码数据 捕获几个数据包后发生错误,还提供了屏幕截图。如何解决此错误? 列表
我正在尝试自动化我使用 WireShark 的重复手动过程: 1) 加载给定的 pcap 文件 2) 为给定协议(protocol)应用一个简单的过滤器 3) 使用导出对话框将显示的数据包导出为 CS
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?将问题更新为 on-topic对于堆栈溢出。 8年前关闭。 Improve this qu
有没有办法清除 Wireshark 中的捕获窗口,而无需重新启动捕获或重新应用过滤器?如果不仔细查看时间戳,很难区分一组流量和另一组流量。 最佳答案 我没有找到清除窗口的方法,但点击“重新启动正在运行
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 3 年前。 Improve this ques
我想知道wireshark 是如何工作的。可以监听给定机器所有端口上的流量的应用程序的设计是什么?这样的应用程序会产生什么样的窃听?编写一个监控流量的应用程序的好方法是什么? 谢谢 最佳答案 Wire
我想构建一个自己的 Wireshark 数据包解析器,并按照https://www.wireshark.org/docs/wsdg_html_chunked/ChDissectAdd.html中给出的
假设我有这样的模式 01:02:(anything):04:05 如何在wireshark中构造一个显示过滤器来过滤掉它? 我必须这样做吗? data[0:2]==01:02 and data[3:2
我想构建一个自己的 Wireshark 数据包解析器,并按照https://www.wireshark.org/docs/wsdg_html_chunked/ChDissectAdd.html中给出的
假设我有这样的模式 01:02:(anything):04:05 如何在wireshark中构造一个显示过滤器来过滤掉它? 我必须这样做吗? data[0:2]==01:02 and data[3:2
是否可以在 Wireshark 中重新编号。例如,我已将数据包过滤到一侧: 所以数字是(由于过滤它们没有按顺序排列): 416,419,420,423,424,426,427。 但我想像这样一行一行地
我想使用 Opus-48 编解码器捕获和解码 VoIP 对话。我正在使用 Wireshark 来捕获数据包。网上有免费的解码器吗?? Wireshark 不保存双向对话,因为它适用于 G-729 等其
tshark中的-Y、-2和-R选项让我困惑了很久。 看了说明书,我知道-Y用在单通滤波,-2用在2通滤波(万一我们不能在第一遍过滤器结束之前获取一些信息) 但我还是不明白 -2 -Y 'blabla
如果我想编写一个使用 Wireshark 功能的脚本,我会使用 tshark。我听说还有一个 libwireshark 可以在用 C 编写程序时使用,但是,就我的一生而言,我找不到任何文档!我尝试隔离
我有一个正在分析的 Wi-Fi 捕获 (.pcap),并且遇到了在我看来 802.11 规范与 Wireshark 对数据的解释之间的不一致之处。具体来说,我想要拆分的是 2 字节的 802.11 帧
有没有办法过滤或关注 TCP/SSL使用 Wireshark 基于特定进程 ID 的流? 最佳答案 以防万一您正在寻找替代方法并且您使用的环境是 Windows,Microsoft 的 Network
我是一名优秀的程序员,十分优秀!