wireshark查看自己计算机的48位以太网地址是什么?

WireShark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。WireShark可使用WinPCAP作为接口，直接与网卡进行数据报文交换。WireShark拦截流量并使其可被读取。这可以帮助您快速识别网络所经过的流量，特定跃点之间的频率，频率，频率和延迟。尽管WireShark支持超过2000种网络协议，其中许多都是奥术，奇数或过时的，但现代安全专业人员可以在分析IP数据包时找到最直接的工具。您网络中的大多数数据包通常是TCP，UDP和ICMP。考虑到跨典型商业网络的高流量，WireShark的工具对于帮助您过滤此流量特别有用。过滤器仅用于捕获您感兴趣的流量表，过滤器用于放大要检查的流量。网络协议分析器提供的搜索工具可让您快速找到要搜索的内容，包括正则表达式和颜色突出显示。

Wireshark是一个开源的网络分析工具，是使用C语言编写的，依赖于Libpcap（PacketCaptureLibrary）来进行数据包捕获和分析。Libpcap是一个在UNIX和类UNIX系统上进行网络数据包捕获的库，提供了一组函数和工具，用于捕获、过滤和处理网络数据包。Wireshark使用Libpcap来访问网络接口，捕获数据包提供用于分析的数据。Wireshark使用了其他开源库和工具来实现各种功能，ireshark使用GTK+来构建跨平台的用户界面。Lua：一种轻量级的脚本语言，Wireshark使用Lua作为插件系统的脚本语言，允许用户编写自定义的分析脚本。Wireshark是基于C语言编写的，依赖于Libpcap、GTK+、Lua等开源库和工具来实现网络数据包的捕获、分析和显示功能。

wireshak可以抓包。通过对抓到的包进行分析，你可以学习网络协议、排查网络故障、偷窥拨号上网的账号密码……总之功能很多，重点在于你要懂得用网络协议去分析。

意思是抓到一款image,base图像软件，wireshark是一款封包查看和分析工具（或者说是一种软件），能够截取各种网络封包，并显示封包的详细信息。

一个软件包。Wireshark是一个网络封包分析软件。OpenVPN是一个用于创建虚拟私人网络加密通道的软件包，允许创建的VPN使用公开密钥、电子证书、或者用户名密码来进行身份验证。

目前没有中文名称，国内用户一般都称呼它的本名 Wireshark，个人觉得也没必要翻译个中文出来，因为搞网络的多少都知道点英文，对它也都有自己的意会理解。再者我们又不是CCTV非要说NBA是美职篮。Ethereal 和 Wireshark 是同一个东西，只是后来项目改名 Wireshark，网上有介绍，我就不去粘贴了。

WinPcap是用于网络封包抓取的一套工具，可适用于32位的操作平台上解析网络封包，包含了核心的封包过滤，一个底层动态链接库，和一个高层系统函数库，及可用来直接存取封包的应用程序界面。Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。大多数网络应用程序访问网络是通过广泛使用的套接字。这种方法很容易实现网络数据传输，因为操作系统负责底层的细节（比如协议栈，数据流组装等）以及提供了类似于文件读写的函数接口。但是有时，简单的方法是不够的。因为一些应用程序需要一个底层环境去直接操纵网络通信。因此需要一个不需要协议栈支持的原始的访问网络的方法Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包[1]分析软件的功能[1]可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。编辑本段应用

tshark 是 wireshark的命令行，在一些系统中是用wireshark, 如win7;一些系统中是用tshark，如FreeBSD等开发系统

word-break的break-all属性值可以截断一个单词 .

求这中文版的wireshark是哪儿下的？

老版本和新版本的区别

选哪个就通过哪个去抓包。你走的无线就应该选WLAN

1、Wireshark的数据包详情窗口，如果是用中括号[]括起来的，表示注释，在数据包中不占字节2、在二进制窗口中，如“DD 3D”，表示两个字节，一个字节8位3、TCP数据包中，seq表示这个包的序号，注意，这个序号不是按1递增的，而是按tcp包内数据字节长度加上，如包内数据是21字节，而当前IP1发到IP2的包的seq是10的话，那下个IP1发到IP2的包的seq就是10+21=31

NBNS是网络基本输入/输出系统(NetBIOS)名称服务器的缩写。它也是TCP/IP协议的一部分。它负责将计算机名转化为对应的IP。其中，NamequeryNB是请求包，NamequeryresponseNB是响应包。双方的端口号均为137。NBNS在WIndows用的较少，Windows普遍采用LLMNR协议

意思：Wireshark的信息。如果还有什么疑问，请继续“追问”如果对我的回答满意，请点击右侧“满意”，非常感谢。

Please join us for the 3rd annual SHARKFEST Wireshark Developer and User Conference, which will take place, once again, at the serenely beautiful main campus of Stanford University in Palo Alto, CA from June 14-17, 2010. SHARKFEST is an annual gathering, instantiated in 2007 with the purpose of providing a forum for knowledge-sharing between the global Wireshark and Open Source development community and users of the world"s most popular and widely-deployed network analyzer. Participants receive a rich educational experience, allowing all to extend their use of Wireshark and other Open Source tools to make the most of their data analysis experiences and existing network infrastructure.Conference Brochure 03Conference Registration:Single registration for all 3 days is $695.00 USD.Group discounts are availableStaff and students associated with accredited educational institutions receive a 50% discount.Early bird discounted price of $595.00 USD available through March 1st.

问题一：抓包是什么意思？ 10分 包指的是数据传输的数据包 抓包就是提取其中的数据包查看 问题二：抓包工具wireshark抓到的tcp数据中数字是什么意思 1、Wireshark的数据包详情窗口，如果是用中括号[]括起来的，表示注释，在数据包中不占字节 2、在二进制窗口中，如“DD 3D”，表示两个字节，一个字节8位 3、TCP数据包中，seq表示这个包的序号，注意，这个序号不是按1递增的，而是按tcp包内数据字节长度加上，如包内数据是21字节，而当前IP1发到IP2的包的seq是10的话，那下个IP1发到IP2的包的seq就是10+21=31 问题三：android 抓包是什么意思 就是通过工具把别人网络接口的数据包抓取过来查看请求方式和网址之类的东西 问题四：如何查看抓包数据 对于标准的Http返回，如果标明了Content-Encoding:Gzip的返回，在wireshark中能够直接查看原文。由于在移动网络开发中，一些移动网关会解压显式标明Gzip的数据，以防止手机浏览器得到不能够解压的Gzip内容，所以，很多移动开发者选择了不标准的Http头部。也就是说，Http返回头部并没有按标准标Content-Encoding:Gzip属性。这样就导致在wireshark中无法直接查看。 这时，将抓包得到的数据以raw形式存为文件，再使用UE以16进制查看，去掉文件中非Gzip压缩的数据，就可以将文件用Gzip解压工具解压后查看原文了。Gzip数据以1F8B开头，可以以此来划分文件中的Gzip和非Gzip数据。 问题五：监控流量和数据抓包有什么区别 监控流量只能看上网用了多大的带宽，看不到具体干什么。抓包可以分析出具体的网络行为，但是需要借助其它工具分析，还要有这方面的专业知识和经验。 问题六：抓包抓到的数据，怎么分析啊 5分 1, 取决于你抓包的层级。一般来说都是与网站之间交换的，未经格式化的较为数据。 2, 可以从网卡抓取本机收发的数据，也有人把从浏览器或其它工作在顶层的软件获得的数据，成为抓包。 3, 如果你所在的局域网比较原始，你还是可以尝试从网卡中获得广播的数据。 4, 分析有现成的软件，主要针对无法加密的部分展开，即发送、接受方地址、时间、路径、内容体积等进行。不涉及内容的情况下是典型的被动数据分析。 问题七：抓包工具是干嘛的 抓包工具是用于抓取一个程序的数据的，比如说网站数据等 问题八：抓包工具是什么意思？可以干什么用的？ 就是截取网络数据包（抓包是指截取自己电脑到其他网络的数据包）的工具，主要用于做网游作弊器，安全检测…… 问题九：什么是抓包工具? 你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发抚网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。 这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。 你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。 1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。 2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。 3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。 图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。 4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。 既然抓到了病毒包，我们看一下这个数据包二进制的解码内容： 这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个6......>>

.h与.c来看的话，就是C语言了。.rc是资源文件。

switch上,除了广播,你什么也看不到.抓包分析需要镜像端口.hub则是所有数据向所有端口泛洪,所以你就看到了...

wireshark并不具备修改能力，你可以使用winpcap的开发包读取截包数据，然后改动，并使用winpcap发送出去，网络上有类似的代码，比如生成arp攻击之类的

菜单里有capture 里面有个interface，打开后弹出一个对话框，可以看到实时截包数目。你的后面两个是虚拟网卡。第一个第二个估计一个是有线一个是无线，点开那个detail按钮看一下就知道了。

wireshark的捕捉设置里面有：Capture packets in promiscuous mode （在混杂模式捕捉包）这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Wireshark 仅仅捕捉那些进入你的计算机的或送出你的计算机的包。(而不是LAN 网段上的所有包).默认好像是开启了混杂模式的，所以你抓的有可能是局域网内其它电脑的包。关闭混杂模式，只抓自己电脑的包，再把网页、QQ、迅雷之类的所有网络相关软件全部关掉再试试？

wireshark中的frame ethernet internet control message protocol是什么意思TCP/IP 是供已连接因特网的计算机进行通信的通信协议。 TCP/IP(Transmission Control Protocol/Internet Protocol)已成为一个事实上的工业 标准。 TCP/IP是一组协议的代名词，它还包括许多协议，组成了TCP/IP协议簇。 TCP/IP协议簇分为四层，IP位于协议簇的第二层(对应OSI的第三层)，TCP位于协议簇的第 三层(对应OSI的第四层)。 TCP和IP是TCP/IP协议簇的中间两层，是整个协议簇的核心，起到了承上启下的作用。 1、接口层 TCP/IP的最低层是接口层，常见的接口层协议有： Ethernet 802.3、Token Ring 802.5、X.25、Frame reley、HDLC、PPP等。 2、网络层 网络层包括：IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol) 控制报文协议、ARP(Address Resolution Protocol)地址转换协议、RARP(Reverse ARP)反向 地址转换协议。 IP是网络层的核心，通过路由选择将下一跳IP封装后交给接口层。IP数据报是无连接服务 。 ICMP是网络层的补充，可以回送报文。用来检测网络是否通畅。 Ping命令就是发送ICMP的echo包，通过回送的echo relay进行网络测试。 ARP是正向地址解析协议，通过已知的IP，寻找对应主机的MAC地址。 RARP是反向地址解析协议，通过MAC地址确定IP地址。比如无盘工作站和DHCP服务。 3、传输层 传输层协议主要是：传输控制协议TCP(Transmission Control Protocol)和用户数据报协 议UDP(User Datagram rotocol)。 TCP是面向连接的通信协议，通过三次握手建立连接，通讯时完成时要拆除连接，由于TCP 是面向连接的所以只能用于点对点的通讯。 TCP提供的是一种可靠的数据流服务，采用“带重传的肯定确认”技术来实现传输的可靠 性。TCP还采用一种称为“滑动窗口”的方式进行流量控制，所谓窗口实际表示接收能力，用 以限制发送方的发送速度。 UDP是面向无连接的通讯协议，UDP数据包括目的端口号和源端口号信息，由于通讯不需要 连接，所以可以实现广播发送。 UDP通讯时不需要接收方确认，属于不可靠的传输，可能会出丢包现象，实际应用中要求 在程序员编程验证。 4、应用层 应用层一般是面向用户的服务。如FTP、TELNET、DNS、SMTP、POP3。 FTP(File Transmision Protocol)是文件传输协议，一般上传下载用FTP服务，数据端口 是20H，控制端口是21H。 Telnet服务是用户远程登录服务，使用23H端口，使用明码传送，保密性差、简单方便。 DNS(Domain Name Service)是域名解析服务，提供域名到IP地址之间的转换。 SMTP(Simple Mail Transfer Protocol)是简单邮件传输协议，用来控制信件的发送、中 转。 POP3(Post Office Protocol 3)是邮局协议第3版本，用于接收邮件。 数据格式： 数据帧：帧头＋IP数据包＋帧尾 (帧头包括源和目标主机MAC地址及类型,帧尾是校验字) IP数据包：IP头部＋TCP数据信息 (IP头包括源和目标主机IP地址、类型、生存期等) TCP数据信息：TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校 验字等)

你把那个1871的包frame和Ethernet层展开看看

什么技巧吗？

1、pcap是wireshark配置脚本文件，可以用Wireshark软件打开。2、Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。3、Wireshark不是入侵侦测系统（IntrusionDetectionSystem,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。更多关于pcap是什么文件，进入：https://www.abcgonglue.com/ask/2addb21616094698.html?zd查看更多内容

！tcp【4】== 0

时间字段应该在协议里边吧，地址等等都是数据包外边的封装，估计具体时间应该是在最后的数据里边，但是抓包工具一般不会分析数据包里的真实数据，或者是加密了看不到，否则你复制一份流量岂不是能看到聊天工具里的聊天内容了。

组成pcap格式文件，首先按照这个结构写入一个24字节包头：typedef struct pcap_hdr_s { guint32 magic_number; /* magic number */ guint16 version_major; /* major version number */ guint16 version_minor; /* minor version number */ gint32 thiszone; /* GMT to local correction */ guint32 sigfigs; /* accuracy of timestamps */ guint32 snaplen; /* max length of captured packets, in octets */ guint32 network; /* data link type */} pcap_hdr_t;然后是16字节的包描述（注意后面的说明）：typedef struct pcaprec_hdr_s { guint32 ts_sec; /* timestamp seconds */ 抓包的时间，可以填0 guint32 ts_usec; /* timestamp microseconds */ 毫秒数，直接以0填充 guint32 incl_len; /* number of octets of packet saved in file */ 文件中的包长，就是(Etherne+udp+snmp)的总长度了 guint32 orig_len; /* actual length of packet */ 原始包长，和上面长度相同} pcaprec_hdr_t;构造好的就是这个然后加入数据包的信息，如此循环...填充的结果类似这种：00000000 D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 0000000010 60 00 00 00 01 00 00 00 00 00 00 00 00 00 00 0000000020 3E 00 00 00 3E 00 00 00 <你的数据包内容，长度62(0x3E)字节>然后用Wireshark打开就可以看到数据包了

ip.addr == 192.168.1.1可以将源地址和目的地址为192.168.1.1数据过滤出来

1）你连接的是hub还是交换机，交换机的话，需要镜像端口才能抓到一些包。 2）因为广播或者组播包是发到局域网所有机器上的，你可以抓到，其他的交换机会直接交换到对应的端口上。 3）wireshark的原则是 不经过硬件网卡的包是抓不到的。

网页链接可以参考wireshark文档的这句话：The first column shows how each packet is related to the selected packet. Forexample, in the image above the first packet is selected, which is a DNSrequest. Wireshark shows a rightward arrow for the request itself, followed by aleftward arrow for the response in packet 2. Why is there a dashed line? Thereare more DNS packets further down that use the same port numbers. Wiresharktreats them as belonging to the same conversation and draws a line connectingthem.

报文号是网络交换传输的数据编号，wireshark中可以直接获取报文号并分析报文内容。Wireshark（前称Ethereal）是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取网络报文，并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探工具”，像一只猎狗，忠实地守候在接口旁，抓获进出该进口的报文，分析其中携带的信息，判断是否有异常，是网络故障原因分析的一个有力工具。网络报文分析软件曾经非常昂贵，Ethereal/wireshark 开源软件的出现改变了这种情况。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal/wireshark 是目前世界使用最广泛的网络报文分析软件之一。报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。报文就是在各个系统之间进行请求和响应时用来交换信息的，还需要遵守规定好的格式。另外，应用报文多是多个系统之间需要通信的时候，比如银行的ESB系统到网关系统再到银联系统。在这中间报文就承担了装载数据，运输数据的功能，可能在这三个系统中报文的格式互不相同，但是承载的数据都是一样的。报文的认证方式有传统加密方式的认证、使用密钥的报文认证码方式、使用单向散列函数的认证和数字签名认证方式。

黄条代表SMB（Server Message Block）协议，如smb、nbss、netbios等。蓝条代表UDP协议。可以点WireShark的右边倒数第三个按钮（Editor coloring rules...）查看。

1、Wireshark的数据包详情窗口，如果是用中括号[]括起来的，表示注释，在数据包中不占字节2、在二进制窗口中，如“DD 3D”，表示两个字节，一个字节8位3、TCP数据包中，seq表示这个包的序号，注意，这个序号不是按1递增的，而是按tcp包内数据字节长度加上，如包内数据是21字节，而当前IP1发到IP2的包的seq是10的话，那下个IP1发到IP2的包的seq就是10+21=31

很不错1. tshark + wireshark+sshssh root@HOST tcpdump -U -s0 -w - "not port 22" | wireshark -k -i -2. tcpdump + wireshark + sshssh root@server.com "tshark -f "port !22" -w -" | wireshark -k -i -3. fifo方式mkfifo /tmp/fifo; ssh-keygen; ssh-copyid root@remotehostaddress; sudo ssh root@remotehost "tshark -i eth1 -f "not tcp port 22" -w -" > /tmp/fifo &; sudo wireshark -k -i /tmp/fifo;

IPA : Internet Protocol Address中文全称:互联网协议地址windows抓包可以试试QPA，QPA是基于进程抓包的，并且按流量类型分类，傻瓜易用式分析

你们使用的PORT埠可能是SSL/TLS内建的PORT埠，因此会出现这样的问题，换埠号即可。

看View->Color Rules 如何定义的

wireshark并不具备修改能力，你可以使用winpcap的开发包读取截包数据，然后改动，并使用winpcap发送出去，网络上有类似的代码，比如生成arp攻击之类的

TCP三次握手连接及seq和ack

默认情况下打开wireshark会报错，无法打开display，可以这么做：CTL + ALT + F2切换到控制台$xhost +显示说无法打开“”；然后切换到root用户：$su# export DISPLAY=:0.0#wireshark

菜单里有capture 里面有个interface，打开后弹出一个对话框，可以看到实时截包数目。你的后面两个是虚拟网卡。第一个第二个估计一个是有线一个是无线，点开那个detail按钮看一下就知道了。

1）你连接的是hub还是交换机，交换机的话，需要镜像端口才能抓到一些包。 2）因为广播或者组播包是发到局域网所有机器上的，你可以抓到，其他的交换机会直接交换到对应的端口上。 3）wireshark的原则是 不经过硬件网卡的包是抓不到的。

把NONE改成ALL可以了。 应该是都检查（ALL），而不是都不检查（NONE） 谢谢 【 在 seamoun (软硬件互搏中...) 的大作中提到: 】 : $ iptables -I OUTPUT -p tcp --flags RST -j DROP : iptables v1.4.12: unknown option "--flags" : Try `iptables -h" or "iptables --help" for more information. : ...................

编号为12的TCP流，方便分析HTTP与前面的三次握手

网络里面有一些广播包的

mDNS即组播DNS（multicast DNS），在一个没有常规DNS服务器的小型网络内，可以使用mDNS来实现类似DNS的编程接口、包格式和操作语义。mDNS主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信。苹果的Bonjour就是一个基于mDNS的产品。

你流量的前端来源应该有经过VSS的设备做流量转发，才发出现他网卡的标识

没区别....只是不同系统的软件....用起来一样 不过一般来说越狱最好在mac系统下 不容易出问题