Libpcap কনফিগার করা স্ন্যাপ দৈর্ঘ্য এবং প্রকৃত ক্যাপচার দৈর্ঘ্যের মধ্যে মিল নেই

আমার কাছে বেশ কয়েকটি পিসিপি ফাইল রয়েছে যেখানে ওয়্যারশার্ক দ্বারা রিপোর্ট করা ক্যাপচারের দৈর্ঘ্য প্রকৃত ক্যাপচার দৈর্ঘ্যের চেয়ে বড় is পার্থক্যটি 10 ​​বাইট এবং এটি কেন এই উচ্চ সংখ্যার রিপোর্ট করে তা আমি বুঝতে পারি না।

fileপরিসংখ্যান-> সংক্ষিপ্তসার সংলাপে ওয়্যারশার্কের সমান মূল্য হিসাবে রিপোর্ট করে ।

$> file out_20140207162250.pcap
out_20140207162250.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 100)

প্রকৃত আকারটি কী ছিল তা দেখতে প্যাকেটের দৈর্ঘ্যের চেয়ে ক্যাপচার দৈর্ঘ্যের চেয়ে কম প্যাকেটগুলির জন্য ক্যাপচারের দৈর্ঘ্য দিতে আমি tshark ব্যবহার করতে পারি।

$> tshark -r "out_20140207162250.pcap" -R "frame.cap_len < frame.len" -Tfields -eframe.cap_len | sort | uniq
tshark: The file "out_20140207162250.pcap" appears to have been cut short in the middle of a packet.
90

একটি সাধারণ সি-প্রোগ্রামের মাধ্যমে ফাইলটি সন্ধান করে আমি দেখতে পাচ্ছি যে snaplenইন-এর pcap_file_headerমধ্যে আসলে 100 সেট করা আছে।

#include <pcap.h>

int main(int argc, char **argv) {

  FILE *pcapInputFile_p;
  pcap_file_header fileHeader;

  pcapInputFile_p = fopen(argv[1], "r");
  fread( &fileHeader,sizeof(pcap_file_header), 1, pcapInputFile_p );
  printf("%d\n",fileHeader.snaplen);  
  fclose(pcapInputFile_p);

}

আমি কীভাবে এবং কী সরঞ্জাম দিয়ে এই নির্দিষ্ট ফাইলটি বন্দী করেছিলাম তা আসলে জানি না, তবে আমি এটি খুঁজে পাওয়ার চেষ্টা করছি :)।

আমি 96. Wireshark থেকে "সীমা প্যাকেট আকার" তে সেট, আমার উইন্ডোজ মেশিনে Wireshark 1.11.0 সাথে এই পুনরাবৃত্তি করার চেষ্টা করছেন 96 প্রতিটি প্যাকেট কাটা রিপোর্ট, কিন্তু Statistics-> সারাংশ 100, অর্থাত্ 4 বাইট বেশি আমি কনফিগার করে। ঠিক আছে, তাই এখন আমি এটি 106 এ সেট করেছি pac আমি প্যাকেট এবং সংক্ষিপ্তসার সংলাপে উভয়ই 106 পেয়েছি !

তাই এখন আমি কৌতূহল বোধ করছি ... এবং এটি শুক্রবার বিকেলে এবং আমি কিছু সময় হত্যার চেষ্টা করছি। আমি একটি স্ক্রিপ্ট লিখেছিলাম (ডাম্পক্যাপ ১.৮.২ সহ) একটি একক প্যাকেট ১৫০০ এর বেশি আকারের এবং একটি ফাইলের আউটপুট। স্ক্রিপ্টটি চলার সময় কয়েকটি বড় প্যাকেট পেতে আমি একটি বিশাল ফাইল ডাউনলোড করেছি। সিস্টেম ছিল Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1 x86_64 GNU/Linux। এখানে 50 থেকে 150 এর মধ্যে সুনিপ-দৈর্ঘ্যের তুলনায় কনফিগার করা প্লট রয়েছে (প্যাটার্নটি কমপক্ষে 1500 পর্যন্ত পুনরাবৃত্তি করে)। শেডযুক্ত রেখাগুলি কেবল দেখায় যে 96 টি কনফিগার করা আমাদের এই সিস্টেমে 96 দেয়। সবচেয়ে বড় পার্থক্যটি 2 বাইট, যা আমি কনফিগার করেছি তার চেয়ে সর্বদা কম!

আসল ক্যাপচার দৈর্ঘ্যের তুলনায় কনফিগার করা ছবি (পোস্টের জন্য রেপ দরকার, এটি কতক্ষণ সঞ্চিত রয়েছে তা নিশ্চিত নয়)

সুতরাং সংক্ষেপে , কেন রিপোর্ট করা ক্যাপচার দৈর্ঘ্য এবং প্রকৃত ক্যাপচার দৈর্ঘ্যের মধ্যে একটি এক্স বাইট পার্থক্য রয়েছে? মাঝে মাঝে কেন? কেন বিভিন্ন সিস্টেম / সরঞ্জামের জন্য আলাদা? যদি তাই হয় তবে কেন? এটি কি বাগ, না আমি বিভ্রান্ত?

ধন্যবাদ!

এখানে আমার নিজের প্রশ্নের উত্তর দেওয়া, যেহেতু আমি প্রশ্নটি জিজ্ঞাসা করেছিলাম তা আমার পক্ষে এটি "সমাধান করে"। @ গুয়াহারিসের সাহায্যে দয়া করে উপরের মন্তব্যটি রেখে গেছেন, এটির সাহায্যে খুব কমপক্ষে আমাকে এটি বুঝতে অনেক বেশি সময় লাগত, তাই আপনাকে ধন্যবাদ!

সর্বশেষ tcpdump এর সাথে libpcap এর বিভিন্ন সংস্করণের কয়েকটি সংকলন করার জন্য আমি কিছু সময় ব্যয় করেছি। ফলাফলগুলিকে তিনটি বিভাগে ভাগ করা যায় (খারাপ, অর্ধ-খারাপ এবং নিখুঁত), যেখানে সর্বশেষতম libpcap পরীক্ষা করা হয়েছে ঠিক আছে। আজ, যখন আমি উইন্ডোজটিতে ডাম্পক্যাপ এবং ওয়্যারশার্ক দিয়ে পরীক্ষার পুনরাবৃত্তি করলাম তখন আমি এটির পুনরাবৃত্তি করতে পারিনি! আমি পাগল নই, দিব্যি!

সংক্ষিপ্তসার - এটি সম্পূর্ণরূপে libpcap সংস্করণে নির্ভর করে। সিস্টেম বা অন্য কোনও সফ্টওয়্যার এটি প্রভাবিত করেছে তা আমি খুঁজে পাইনি। সুতরাং লোকেরা, আপনাকে কিছুটা হতাশার হাত থেকে বাঁচাতে আপনার libpcap আপগ্রেড করুন! :)

এখানে চিত্র দেখুন - আসল স্ন্যাপলাইটের তুলনায় কনফিগার করা