关于WireShark跟随数据流后entire conversation显示的字节数分析
- **1.发现问题**
- **2.查找原因**
1.发现问题
在一次通过数据包还原实验中,发现对传输文件流量进行跟随tcp流跟踪,显示的entire conversation和还原出的文件大小有不可忽视的差距。具体介绍如下图
还原文件
文件大小有了差别
2.查找原因
初步怀疑:原始二进制文件保存为其他文件会变大
进行验证:直接将原始数据写入文件,观察大小
复制原始文件数据
用WinHex新建文件,内容全为0
选择ASCII Hex
写入文件大小好zip一样,所以和存储形式无关,且可知传输的文件大小是775,108byte而不是678kb。
对此结论进一步验证
对tcp流的进一步统计
观察左下角,发现整个tcp流传输的数据大小为,755kb
所以,在跟踪tcp流窗口中,entire conversation显示的大小不是完整的传输大小
对此,通过科学上网查到相关内容
entire conversation 应该省去了以太网,IP和TCP的协议标头的开销
不知道对不对,反正以后尽量不要以这个显示作为数据还原大小的判断依据
更多推荐
关于WireShark跟随数据流后entire conversation显示的字节数分析
发布评论