底層抓包：ip包和tcp包的聯(lián)系？

雷鋒不謝

             大家好，我在wireshark上面抓包的體會是這樣的：

1，在wireshark上面，顯示的ip包，基本上都是沒有分片的。（或者說是已經(jīng)重組了的），所以，你看不到ip.flag.mf==1的包。
   
    所以可以這樣理解么：即wireshark它把ip片都重新組起了。

2，在ip包沒有分片之前，我的想法是：（假設(shè)上層協(xié)議為tcp) ，一個tcp包對應(yīng)著一個ip包，即每個tcp下來后，都且只且加了一個ip頭部。


3，在我們平時寫的抓包程序中，如果是從原始套接字底層抓包的話（假設(shè)可以看到mac地址)，那么，這是ip的分片，和wireshark里面的包是不一樣的。
但是如果流過的ip本來就是一個完整的ip（即沒經(jīng)過分片)，那么抓起來的就和wireshark一樣了。


4，在第3點中，如果自己抓底層的ip片，那么請教：怎樣可以歸類一次完整的tcp對話的包（假設(shè)網(wǎng)絡(luò)很多包在流動）     


        第四點是我想問的問題，前面三點是我自己的想法，如果不對，還請指教！謝謝

pxczy

有點深，雖然我曾經(jīng)研究和使用過wireshark，不過你說的我不懂

pxczy

有點深，雖然我曾經(jīng)研究和使用過wireshark，不過你說的我不懂