Столбец «длина» Wireshark - что он включает?

Это количество байтов, которые были захвачены для этого конкретного кадра; оно будет соответствовать количеству байтов необработанных данных в нижней части окна wirehark.

Содержимое захвата зависит от того, как был выполнен захват, но обычно захват выполняется от начала заголовка до конца полезной нагрузки.

Нажмите на декодированные части протокола в окне wirehark, он выделит, какие части данных являются частью какого протокола и что означают различные захваченные заголовки.

См. Ответ Шейна Мэддена.

Также обратите внимание, что

1. Wireshark не добавляет числа, чтобы получить эту длину, он получает номер из libpcap / WinPcap, который получает его из базового механизма захвата, который обычно получает номер из драйвера устройства, который обычно получает его от оборудования.
2. В Ethernet преамбула и разделитель SOF редко захватываются (я не думаю, что это когда-либо фиксируется обычным оборудованием Ethernet и обычными драйверами устройств Ethernet), а FCS обычно не захватывается, но иногда может быть (причина, по которой Wireshark использует эвристику для попробуйте угадать, есть ли FCS или нет, это то, что адаптер Ethernet и драйвер Mac OS X по крайней мере на одной машине, которую я использовал сделал поставлять FCS, поэтому входящие пакеты включали FCS, а исходящие - нет.
3. В других сетях это зависит (TM). Для 802.11 вы можете получить или не получить FCS, а также можете получить заголовок перед заголовок 802.11, содержащий метаданные радиосвязи (скорость передачи данных, канал и т. д .; эти данные не данные, которые передавались в битах в эфире, но делает появляются в пакетных данных и делает считаются частью длины. Для PPP вы можете видеть или не видеть FCS, а для PPP в кадрировании, подобном HDLC, вы можете видеть или не видеть заголовок, подобный HDLC.

Также для Ethernet см. Мой ответ на этот вопрос о захвате преамбулы, SFD и FCS.