Wireshark的Bogus IP length错误

最新推荐文章于 2024-03-05 00:51:02 发布
原创 最新推荐文章于 2024-03-05 00:51:02 发布 · 1w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#header #less #tcp

本文介绍使用Wireshark时遇到的IP头部totallength字段显示为0的问题及解决方法。通过调整设置使Wireshark能够正确解析IP头部和TCP头部。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     用Wireshark抓包时,经常会遇到一些报文被解析成为下面这种形式:
     展开信息:
     该报文的源IP和目的IP都只解析以太网层的设备名,而不是IP地址,解析信息是Bogus IP length(0, less than header length 20)。
     仔细查看,发现这个报文的IP头部的total length字段被解析为0,但是从报文payload来看,它的长度肯定不为0.

     出现这种情况的原因是因为当IP头部中total length字段为0时,Wireshark不会接着往下解析IP头部和TCP头部。
 
     解决办法:
     打开“编辑-->属性”窗口,选择Protocals --> IP,在右边勾选上“Support packet-capture from IP TSO-enabled hardware”, 即可!
重新打开Wireshark,一切都正常了。。。

 

IP层实现3-接收数据
u014211079的专栏
11-17 1108
来看接收数据,此函数的触发点在完成GSO后在napi_gro_complete函数中和deliver_skb函数中调用 /* * Main IP Receive routine. */ int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig
pacpng文件格式说明
死胖子的博客
11-02 1541
文件在这里可以找到: PcapngReaderPython/pcapng_demo.py · duocore/TurtleRock - Gitee.com #coding=utf-8 # # 说明文字大部分是这个网址翻译的: # https://pcapng.github.io/pcapng/draft-ietf-opsawg-pcapng.txt # 注意: # 1、测试的pcapng文件里有些类型的包没有出现,下面的脚本执行过程中有一些未覆盖到。 # 2、一些option因为时间关系没有解析。后续
Bogus,bad length value xxx > IP Payload length
Vincent Luo 的专栏
09-20 8437
如果用Wireshark抓包看到有这种包,那么这个包肯定会被丢掉,表现在你的程序里面就是Server发包了,但是client没有收到,抓包看又有这个包 问题产生原因,包标记的 长度大于实际传输过来的数据长度,这种问题产生的原因大部分是硬件问题,比如HUB或者Switch在包比较多的时候产生掉包,建议换个HUB或者SWITCH试试或许问题就没有了。
IP Header Length (IHL)
03-05 1017
http://stackoverflow.com/questions/11668172/how-do-i-calculate-ip-header-length http://www.cnblogs.com/fhefh/archive/2011/10/19/2217954.html
Wireshark抓包常见问题解析
weixin_34293246的博客
04-11 998
1. tcp out-of-order(tcp有问题)解答:1)、 应该有很多原因。但是多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元 因为他们可能是通过不同的路径到达你电脑上面的。2)、 CRM IT 同仁上礼拜来跟我反应一个问题,由他们客服系统藉由邮件主机要寄送给客户的信件,常常会有寄送失败的问题,查看了一下 Log,发...
bogus学习笔记1
weixin_42960577的博客
11-26 451
学习笔记 Serializer ModelSerializer 不需要重写create update 方法 需要自定义 验证的方法 必须调用is_valid 方法 可以通过valicode_属性来保存数据 创建和修改需要用到反序列化 validated_data 表示客户端请求的数据 已经通过验证 并且进行过类型转换 字典格式 \d 只包含字符 \w word a-zA-Z0-9 ...
ip 包头
A Story of Hello World
04-27 1199
网上摘抄的ip包头介绍: IP包头结构如下图所示 [img]http://dl.iteye.com/upload/attachment/240801/998dee3b-d5c4-3fe9-b2c9-5edefe6b8d78.jpg[/img] 下面具体分析IP包头中各部分的作用。 [b]版本号(Version):[/b]长度4比特。标识目前采用的IP协议的版本号。一般的值为...
动态建立VXLAN隧道L2、L3子网互访实验(分布式式网关场景)
2301_81259159的博客
03-05 3067
1、实验目的了解分布式网关以及BGP EVPN工作机制。2、实验环境。
TCP协议中的核心知识点,SYN Flood?ISN?滑动窗口?数据重传?拆包粘包?单tcp连接多请求?拥塞管理?(个人收藏学习笔记)
单片机菜鸟哥的博客
03-30 4475
TCP协议中的核心知识点,滑动窗口?数据重传?拆包粘包?单tcp连接多请求?1.前言2.TCP/IP四层结构3. TCP3.1 TCP 协议头3.2 TCP通信过程3.2.1 建立连接的三次握手阶段3.2.1.1 关于建连接时SYN超时3.2.1.2 关于SYN Flood攻击3.2.2 断开连接的四次挥手阶段3.2.3 数据传输过程`(涉及到我们本篇标题的知识点)参考资料 1.前言 上周和同事...
抓包展示 TCP 三次握手四次挥手
zyqash的博客
02-16 612
首先我我们看一下TCP的报头格式 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port
linux, Bad UDP length > IP PAYLOAD length
dragon_cdut的博客
09-18 9330
错误:UDP数据包长度大于IP有效负载长度 解决:1, 减短UDP包长度             2,增大有效负载长度 个人情况需要增大有效负载长度,有同样问题的小伙伴可以私信我,我们一起交流怎么增大有效负载长度。
调试FPGA与上位机进行udp通讯,wireshark报错:Bad udp Length xx 」 IP PAYLOAD Length
scottar的博客
06-28 8067
出现上述错误的根本原因是网卡的目前的传输协议只支持到1500bytes ,由于IP头部的字节长度位20字节,所以传输的数据字节就不能超过1480bytes 在这样的调整情况下,udp协议是可以正常运行的 , 并且不会报错,同时与上位机中的matlab进行联调(MATLAB接收数据的时候) 同样也可以完整接收数据 。对于如何解决大字节传输的问题,作者同样正在解决,随后关注本人随后的文章~~~...
基于抓包详解TCP协议
禅与计算机程序设计的艺术
10-05 7821
为保证tcp可靠传输的一个方案,其特点就是累计确认,例如 接受方受到连续按序的五个报文时候发送确认消息6,就代表前五个数据包都收到了,期待第六个数据包。
wireshark分析oracle报错,Linux下抓包工具tcpdump以及分析包的工具wireshark
weixin_35250656的博客
04-15 972
tcpdump是用来抓取数据的,wireshark则是用于分析抓取到的数据的。一般需要安装,直接使用yum安装:yum -y install tcpdump即可。Tcpdump使用方法(1)关于类型的关键字主要包括host,net,port例如: host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port ...
TCP头部详解
小罗的博客
08-28 3740
TCP协议头部字段解析
自己动手学TCP/IP–tftp协议
系统运维
06-11 210
TFTP(Trivial File Transfer Protocol,简单文件传输协议) 1.tftp的服务端口号是69 2.tftp是基于udp协议的 3.tftp是明文传输的,是一种比较轻量型的协议,一般用于bootloader加载内核 TFTP工作流程 服务端开启tftp服务,tftp是一种stand_alone服务,不是常驻内存的,是在有需要的时候才去调...
WiresharkTcpDump抓包分析心得
ctknq的专栏
05-21 1634
WiresharkTcpDump抓包分析心得 分类: Network2010-12-14 20:19 3242人阅读 评论(5) 收藏 举报     1. Wiresharktcpdump介绍  Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,
内网ping -a IP出现bogon
静宁宇思
05-12 3494
前些天发现centos7 linux主机名变bogon,使用下面命令 hostnamectl set-hostname localhost 重启发现主机名还是bogon。 在win的机器上ping -a IP也是出来bogon。 后来想起是因为安全策略调整把两台DC的上网权限给关闭了,dns查询转发到另外两台dns服务器上。 dns服务器上开启了防火墙,防火墙规则接截了NetBI...
wireshark过滤ip显示语法错误
最新发布
03-26
### Wireshark IP 过滤语法修正 在使用 Wireshark 的显示过滤器时,如果遇到 IP 地址过滤语法错误的情况,可以按照以下方法进行修正。 #### 正确的 IP 地址过滤语法 对于单个 IP 地址的过滤,应该采用 `ip.addr` 或者更具体的 `ip.src` 和 `ip.dst` 来分别表示源地址和目的地址。例如: - 查找所有涉及指定 IP 地址的数据包: ```plaintext ip.addr == 192.168.1.1 [^2] ``` - 如果只想查找特定的源地址数据包,则可以写成: ```plaintext ip.src == 192.168.1.1 [^3] ``` - 同样地,只查找特定的目的地址数据包则为: ```plaintext ip.dst == 192.168.1.1 [^3] ``` 需要注意的是,在书写过程中要严格遵循语法规则,避免拼写错误或者逻辑运算符的不当使用。例如,常见的错误可能包括忘记双等号 (`==`) 而仅使用单等号 (`=`),这会导致解析失败。 #### 使用逻辑运算符扩展条件 当需要匹配多个 IP 地址或排除某些 IP 地址时,可以通过逻辑运算符来实现复杂的过滤条件。以下是几个例子: - 匹配两个不同的 IP 地址中的任意一个: ```plaintext ip.addr == 192.168.1.1 or ip.addr == 192.168.1.2 [^5] ``` - 排除某个特定的 IP 地址: ```plaintext not ip.addr == 192.168.1.1 ``` - 结合多种条件(如端口和 IP),可以这样编写: ```plaintext tcp.port == 80 and ip.addr == 192.168.1.1 [^4] ``` 以上示例展示了如何通过组合不同字段以及逻辑操作符构建更加精确的过滤规则。 #### 验证并测试过滤器 为了确保所编写的过滤器能够正常工作,建议先尝试简单的过滤表达式逐步增加复杂度,并观察实际效果是否符合预期。此外还可以利用 Wireshark 提供的功能预览功能即时查看修改后的结果变化情况。 ```python # 示例 Python 代码片段展示如何模拟基本过滤逻辑 (仅为演示用途) def filter_ip(packets, target_ips): filtered_packets = [] for packet in packets: if any(ip in packet['source'] or ip in packet['destination'] for ip in target_ips): filtered_packets.append(packet) return filtered_packets target_ips = ['192.168.1.1', '192.168.1.2'] packets = [{'source': '192.168.1.1', 'destination': '10.0.0.1'}, {'source': '192.168.1.2', 'destination': '10.0.0.2'}] result = filter_ip(packets, target_ips) print(result) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值