pcapstructpcap_pkthdrlenvscaplen-pcapstructpcap_pkthdrlenvscaplen

作者：潮人搭配师er氵ic_161 | 来源：互联网 | 2023-09-10 22:08

WeresniffingpacketsusinglibpcaponlinuxTheheaderwegetoneachpacketlookslike:我们在linux上

We're sniffing packets using libpcap on linux The header we get on each packet looks like:

我们在linux上使用libpcap来嗅探数据包，每个数据包的头看起来是这样的:

struct pcap_pkthdr {
        struct timeval ts;      /* time stamp */
        bpf_u_int32 caplen;     /* length of portion present */
        bpf_u_int32 len;        /* length this packet (off wire) */
};

Now, It is my understanding that caplen is the length of the data we have captured while len is the length of the packet on the wire. In some cases (e.g. when setting the snaplen too low when opening the pcap device) we might capture only parts of the packet, that length will be 'caplen', while 'len' is the original length. Thus, caplen should be equal to or less than len, but never greater than len.

我的理解是，caplen是我们捕获的数据的长度，len是连接上数据包的长度。在某些情况下(例如，当打开pcap设备时将snaplen设置得太低时)，我们可能只捕获包的一部分，该长度将是“caplen”，而“len”是原始长度。因此，caplen应该等于或小于len，但不能大于len。

Is that a proper understanding ? We're seing caplen > len on some machines

这是正确的理解吗?我们要在一些机器上安装caplen > len

3 个解决方案

#1

Your understanding is correct, at least based on the pcap man page.

您的理解是正确的，至少基于pcap手册页。

caplen is the amount of data available to you in the capture. len was the actual length of the packet.

caplen是捕获中可用的数据量。len是数据包的实际长度。

I'm not aware of any cases that would give you a caplen > len. I usually seem them being equal as my snaplen is sufficiently high.

我不知道有什么情况会给你一个caplen > len。我通常认为它们是相等的，因为我的snaplen是足够高的。

#2

Yes your understanding is right Caplen is always less than Len . Sometimes we dont need to capture the whole packet . But why would'nt you capture the whole packet given a chance ? Because in a heavy network traffic that would'nt be a good idea . Are'nt we actually losing precious data if we dont capture the whole packet that appears on the wire ? No. Actually it depends on your purpose , if you just want to classify packets based on the protocols and the application it is destined to , u just need around 14 bytes( Ethernet ) plus 20 bytes ( Ip ) + plus another 20 ( Tcp ) thus you apparently need only 54 bytes of data to classify packets based on protocols , so a lot of load and time is saved on reducing the processing size from pcappkthdr->len to pcappkthdr->caplen :)

是的，你的理解是对的，Caplen总是小于Len的。有时我们不需要捕获整个包。但是你为什么不抓住这个机会呢?因为在网络流量大的情况下，这不是一个好主意。如果我们不捕获出现在电线上的整个数据包，难道我们不是真的失去了宝贵的数据吗?不。实际上取决于你的目的,如果你只是想数据包分类基于协议和应用程序就注定,你只需要在14个字节(以太网)+ 20字节(Ip)+ + 20(Tcp)这样,你显然只需要54个字节的数据分类基于协议数据包,所以很多加载和保存时间在减少处理大小pcappkthdr - > len pcappkthdr - >卡普伦:)

If the headers in the packets are corrupted ( meaning that if the headerlength values are messed up somehow ) then the captured length would be greater than the actual length of the packet .

如果信息包中的报头被损坏(意味着如果报头长度值以某种方式被打乱)，那么捕获的长度将大于信息包的实际长度。

#3

If caplen > len, that's a bug; what version of libpcap are you using?

如果caplen > len，这是一个bug;您正在使用什么版本的libpcap ?

推荐阅读

text
Linux重启网络命令实例及关机和重启示例教程

本文介绍了Linux系统中重启网络命令的实例，以及使用不同方式关机和重启系统的示例教程。包括使用图形界面和控制台访问系统的方法，以及使用shutdown命令进行系统关机和重启的句法和用法。 ... [详细]

蜡笔小新 2023-12-14 15:52:52
int
C#生成随机数的三种方法及其问题分析

本文介绍了C#中生成随机数的三种方法，并分析了其中存在的问题。首先介绍了使用Random类生成随机数的默认方法，但在高并发情况下可能会出现重复的情况。接着通过循环生成了一系列随机数，进一步突显了这个问题。文章指出，随机数生成在任何编程语言中都是必备的功能，但Random类生成的随机数并不可靠。最后，提出了需要寻找其他可靠的随机数生成方法的建议。 ... [详细]

蜡笔小新 2023-12-14 14:15:30
int
clone的fork与pthread_create创建线程有何不同

本文讨论了clone的fork与pthread_create创建线程的不同之处。进程是一个指令执行流及其执行环境，其执行环境是一个系统资源的集合。在调用系统调用fork创建一个进程时，子进程只是完全复制父进程的资源，这样得到的子进程独立于父进程，具有良好的并发性。但是二者之间的通讯需要通过专门的通讯机制，另外通过fork创建子进程系统开销很大。因此，在某些情况下，使用clone或pthread_create创建线程可能更加高效。 ... [详细]

蜡笔小新 2023-12-12 20:00:06
int
MooTools和JQuery并排 - MooTools and JQuery Side by Side

IjustinheritedsomewebpageswhichusesMooTools.IneverusedMooTools.NowIneedtoaddsomef ... [详细]

蜡笔小新 2023-12-12 13:43:58
ip
【系列二】长连接，短连接及WebSocket介绍(含http1.0,1.1,2.0相关)

前言上一节讲了长轮询和轮询及其实现，这节讲一讲长连接、短连接及webSocket，在讲这些之前，我们先来普及一下http相关的一 ... [详细]

蜡笔小新 2023-10-16 14:50:33
int
第七章•Firewalld防火墙实战

1、防火墙安全基本概述在CentOS7系统中集成了多款防火墙管理工具，默认启用的是firewalld（动态防火墙管理器）防火墙管理工具，Firewalld支持CLI（命令行）以及G ... [详细]

蜡笔小新 2023-10-16 13:07:01
int
Bro简介与安装

Bro是一款强大的网络安全工具，以及协议识别与统计的工具。Broisapowerfulnetworkanalysisframeworkthatismuchdifferentfro ... [详细]

蜡笔小新 2023-10-15 14:28:50
int
【机器学习】生成式对抗网络模型综述

生成式对抗网络模型综述摘要生成式对抗网络模型(GAN)是基于深度学习的一种强大的生成模型，可以应用于计算机视觉、自然语言处理、半监督学习等重要领域。生成式对抗网络 ... [详细]

蜡笔小新 2023-12-14 17:51:18
text
Android开发笔记：使用Picasso加载网络图片等比例缩放

在Android开发中，使用Picasso库可以实现对网络图片的等比例缩放。本文介绍了使用Picasso库进行图片缩放的方法，并提供了具体的代码实现。通过获取图片的宽高，计算目标宽度和高度，并创建新图实现等比例缩放。 ... [详细]

蜡笔小新 2023-12-14 17:34:00
int
开发笔记:加密&json&StringIO模块&BytesIO模块

篇首语：本文由编程笔记#小编为大家整理，主要介绍了加密&json&StringIO模块&BytesIO模块相关的知识，希望对你有一定的参考价值。一、加密加密 ... [详细]

蜡笔小新 2023-12-14 15:18:35
text
Spring特性实现接口多类的动态调用详解

本文详细介绍了如何使用Spring特性实现接口多类的动态调用。通过对Spring IoC容器的基础类BeanFactory和ApplicationContext的介绍，以及getBeansOfType方法的应用，解决了在实际工作中遇到的接口及多个实现类的问题。同时，文章还提到了SPI使用的不便之处，并介绍了借助ApplicationContext实现需求的方法。阅读本文，你将了解到Spring特性的实现原理和实际应用方式。 ... [详细]

蜡笔小新 2023-12-14 03:24:19
config
页面请求方法参数最长_关于 HTTP GET/POST 请求参数长度最大值的一个理解误区

http:my.oschina.netleejun2005blog136820刚看到群里又有同学在说HTTP协议下的Get请求参数长度是有大小限制的，最大不能超过XX ... [详细]

蜡笔小新 2023-12-13 19:20:03
ip
Express App如何提供不需要的静态文件？

本文介绍了如何使用Express App提供静态文件，同时提到了一些不需要使用的文件，如package.json和/.ssh/known_hosts，并解释了为什么app.get('*')无法捕获所有请求以及为什么app.use(express.static(__dirname))可能会提供不需要的文件。 ... [详细]

蜡笔小新 2023-12-12 14:38:07
int
在虚拟服务器上安装oracle 10g客户端的问题及解决方法

本文讨论了在VMWARE5.1的虚拟服务器Windows Server 2008R2上安装oracle 10g客户端时出现的问题，并提供了解决方法。错误日志显示了异常访问违例，通过分析日志中的问题帧，找到了解决问题的线索。文章详细介绍了解决方法，帮助读者顺利安装oracle 10g客户端。 ... [详细]

蜡笔小新 2023-12-11 13:08:10
int
SByte类型在C#中的GetHashCode方法及示例

本文介绍了在C#中SByte类型的GetHashCode方法，该方法用于获取当前SByte实例的HashCode。给出了该方法的语法和返回值，并提供了一个示例程序演示了该方法的使用。 ... [详细]

蜡笔小新 2023-12-10 09:17:36

潮人搭配师er氵ic_161

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章