Ethernet пакет

0

0

Пишу парсер своего протокола поверх TCP/IP. Для парсинга использую сырые данные выдаваемые tcpdump -w. Т.к. мне нужен только TCP-stream то заголовки Ethernet, IP, TCP я просто считываю без их разбора(обращаю внимание только на IP и TCP header size для корректировки их размера и получения верного смещения на данные). Размер пакета указан в секции pcap формата выдаваемым tcpdump. Ели после считывания заголовков Ethernet, IP и TCP у меня остаются данные считаю их TCP-данными.
Вот на последнем убеждении я и наступил на грабли, я считал что Ethernet имеет размер 14 байт и находится в начале. А тут попался один пакет в котором после TCP заголовка идут 6 байт, Wireshark их относит к Ethernet заголовку, и обзывает как Trailer.

Как определить что в пакете этот Trailer а не TCP данные?

Ссылка

←	CCL+SLIME - не работает?

Haskell Word8 -> Int

→

>Пишу парсер своего протокола поверх TCP/IP. Для парсинга использую сырые данные выдаваемые tcpdump -w.
зачем? если пишешь «поверх», почему бы уже не общаться напрямую с нужным тебе протоколом, который будет делать всё за тебя? чем тебя socket так не устроил?

xydo ★★
(12.01.10 13:46:12 MSK)

Ссылка

http://www.faqs.org/rfcs/rfc893.html

hizel ★★★★★
(12.01.10 13:57:24 MSK)

А можно не разбираться в тонкостях мусора из прошлого с csma, с сразу использовать libpcap.

as33 ★☆☆
(12.01.10 14:09:42 MSK)

Ответ на: комментарий от as33 12.01.10 14:09:42 MSK

Гениально.

T-34
(12.01.10 14:44:32 MSK) автор топика

Ссылка

Ответ на: комментарий от hizel 12.01.10 13:57:24 MSK

Какие в жопу trailer encapsulations? Просто размер ethernet фрейма не может быть меньше 64 байт, соответственно размер payload не может быть < 46 байт. Если размер IP пакета получается меньше, после него придется дописать нулей или вообще любого мусора, это wireshark и показывает как trailer.

slovazap ★★★★★
(12.01.10 20:45:21 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CCL+SLIME - не работает?

Development

Haskell Word8 -> Int

→

Похожие темы