底层抓包：ip包和tcp包的联系？

雷锋不谢

             大家好，我在wireshark上面抓包的体会是这样的：

1，在wireshark上面，显示的ip包，基本上都是没有分片的。（或者说是已经重组了的），所以，你看不到ip.flag.mf==1的包。
   
    所以可以这样理解么：即wireshark它把ip片都重新组起了。

2，在ip包没有分片之前，我的想法是：（假设上层协议为tcp) ，一个tcp包对应着一个ip包，即每个tcp下来后，都且只且加了一个ip头部。


3，在我们平时写的抓包程序中，如果是从原始套接字底层抓包的话（假设可以看到mac地址)，那么，这是ip的分片，和wireshark里面的包是不一样的。
但是如果流过的ip本来就是一个完整的ip（即没经过分片)，那么抓起来的就和wireshark一样了。


4，在第3点中，如果自己抓底层的ip片，那么请教：怎样可以归类一次完整的tcp对话的包（假设网络很多包在流动）     


        第四点是我想问的问题，前面三点是我自己的想法，如果不对，还请指教！谢谢

pxczy

有点深，虽然我曾经研究和使用过wireshark，不过你说的我不懂

pxczy

有点深，虽然我曾经研究和使用过wireshark，不过你说的我不懂