Почему в Wireshark размер IP-пакетов может отличаться от фактического количества байтов в захваченных данных?

Несколько возможных причин, по которым в Wireshark размер IP-пакетов может отличаться от фактического количества байтов в захваченных данных:

• Усечение собираемых данных. net.academy.lv Можно настроить ограничение длины собираемых кадров (поле Limit each packet to XXX bytes). net.academy.lv Встроенное значение — 68 байтов, его достаточно для IP, ICMP, TCP и UDP, но может исключить информацию протоколов DNS и NFS. net.academy.lv
• Ошибка в указании длины. stackoverflow.com Например, если длина кадра составляет 100 байт, а IP-пакет определяет его общую длину как 99 байт, то это может быть связано с тем, что индекс начинается не с 1, а с 0. stackoverflow.com
• Работа с пакетами, которые проходят через туннели. ask.wireshark.org В таких случаях может возникать ошибка «IPv4 общая длина превышает длину пакета». ask.wireshark.org

Для устранения проблемы с некорректной длиной пакетов можно попробовать исправить отдельные записи пакетов с помощью, например, шестнадцатеричного редактора. ask.wireshark.org