2023年7月23日发(作者：)

pcap和tcpip协议抓包⼯具有wireshark，tcpdump等，原理是在链路层，也就是经过驱动处理得到⼆进制数据后，旁路通信通道，进⾏监测，都是基于pcap⼯具包，pcap⼯具其实也是⼀种socket程序，具体过程：找⽹络设备建⽴接⼝连接获取数据并存储获得的数据是要根据⽹络协议具体分析的，⽹络协议是⼀种通信规则，游戏有了规则，⼤家才能⼀起玩，不然只能各玩各的⾸先是数据的格式：写信需要信封，邮票，邮局，⼀套系统才能完成通信，⽹络数据通信需要什么呢，⽹络类型，MAC地址，IP地址，端⼝号等，当然这只是基础，还有协议类型需要的各个定义好的值，例如ip版本，存货时间，服务类型，传输层需要的窗⼝⼤⼩，端⼝号等等。数据虽然也有分层的烙印，但仅是数据构成形式，没有涉及到路由等真正的⽹络通信。分层：链路层data link layer 可以说是数据连接层，数据成帧，检测错误（与tcp不同，在第2层，靠外，只好检测丢弃），加物理地址⽹络层network layer 路由寻址，路由经过最⼤个数，传输层transport layer 对数据可靠不可靠的控制，对数据传输过程中两边实⼒的沟通通信就像是做买卖，买卖有⼤⼩，数据传输要有⼤⼩吧，那么01信号到⾼低电平，有没什么限制？最⼩数据限制：最早⽹络，单路线，A和B通信，A的数据发出去未到B，B也要发，但是未检测到线路上已经有数据，就会冲突，那么A在发完数据前要能接收到冲突信号，限制了A发送数据的时间有个最⼩值，数据就有个最短值，46+18=6418是帧14长度加4校验最⼤数据限制，长时间⼀个应⽤占据着⽹络其他应⽤的响应不能玩，容易出错，重发⿇烦数据分析各种头的内容中有很多表⽰⼤⼩，类型的字段，逐个进⾏拆解分析定义结构体，挨个赋值即可，帧头⼀般是14+4，arp内容⼀般是28需要+18空，ip⼀般是20，tcp⼀般是20字节