作者回复: sorry,没有使用过mac系统。
另外,你是不是设定了输出log?为了解析SSL,设置的log文件?
如果那个log文件很大,那么每次wireshark解析ssl时,会解析log文件,导致很慢。如果是这样,你可以清理下log文件
作者回复: 是的,不只TCP是这样,IP也是这样,有些长度是4字节为单位,有些是8字节为单位。这是因为这两个协议都是底层报文,其头部必须把消耗的字节最小化。
你可以再读下86课和115课做个对比,加深了解。
作者回复: 默认TCP头部是20字节,但它是可扩展的,当拥有timestamp等选项时,20个字节后并不是HTTP内容。详见第86课。
作者回复: gzip使用了huffman和LZ77两个压缩算法,基本上压缩后的内容增加或者减少1个字符都会导致完整解压失败。你可以从gzip解压失败由哪个字符导致入手,找到从wireshark里提取错误的位置
作者回复: 是的,不过对https就无能为力了
作者回复: data offset的值以 4 字节为单位
作者回复: 这个与RFC无关,参见http://biot.com/capstats/bpf.html
作者回复: 是的,第5部分课程学完后会对TCP头部有详细的了解
作者回复: https://github.com/russelltao/geektime-webprotocol,我把课程中用到的RFC及其URL链接都放在这个页面上了