Wireshark frame.time_relative 对比 tcp.time_relative
Wireshark frame.time_relative vs. tcp.time_relative
我正在尝试使用 Wireshark 分析 TCP 流量。目前,我正试图更好地理解所提供的时间字段,即 frame.time_relative 和 tcp.time_relative.
阅读文档并将跟踪转储到 JSON 文件后:
tshark -r trace.raw -T json -e frame.time_relative -e frame.time_delta -e tcp.time_relative -e tcp.time_delta
我觉得 frame.time_relative 和 tcp.time_relative 是一样的。那是对的吗?如果是这样,为什么它们都存在?
提前致谢。
不,它们不一样。根据文档,frame.time_relative gives the time since it received the first frame in the packet, whereas tcp.time_relative 给出了它在 TCP 会话 中收到 第一帧以来的时间。由于您可能在 TCP 会话中有多个数据包,因此 tcp.time_relative 可能指的是先前的数据包 (tcp.time_relative >= frame.time_relative)。
我正在尝试使用 Wireshark 分析 TCP 流量。目前,我正试图更好地理解所提供的时间字段,即 frame.time_relative 和 tcp.time_relative.
阅读文档并将跟踪转储到 JSON 文件后:
tshark -r trace.raw -T json -e frame.time_relative -e frame.time_delta -e tcp.time_relative -e tcp.time_delta
我觉得 frame.time_relative 和 tcp.time_relative 是一样的。那是对的吗?如果是这样,为什么它们都存在?
提前致谢。
不,它们不一样。根据文档,frame.time_relative gives the time since it received the first frame in the packet, whereas tcp.time_relative 给出了它在 TCP 会话 中收到 第一帧以来的时间。由于您可能在 TCP 会话中有多个数据包,因此 tcp.time_relative 可能指的是先前的数据包 (tcp.time_relative >= frame.time_relative)。