Нужна помощь от знатоков Ethernet,TCP/IP и РРР протоколов.

Я пытаюсть выловить из пакетов проходящих ч/з определенный и-фейс адреса источника и приемника, длинну пакета с помощью библиотеки libpcap (пишу на Perl и использую враппер к libpcap - "Net::Pcap" и сопутствующие модули). И получаю странную картину - для пакетов локалки парсинг производиться четко, а на внешнем и-фейсе ррр0 в кадре Ethernet перед адресом приемника добавляются 2 байта 0х0004. Я даже вручную пытаюсь просмотреть заголовок Ethernet сегмента в дамп файле сгенерированном tcpdump-ом:
-------8<-----------
00000000: D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 ? ················
00000010: 00 04 00 00 71 00 00 00 16 66 8E 40 D1 9A 04 00 ? ····q····f·@····
00000020: 4D 00 00 00 4D 00 00 00 00 04 02 00 00 00 13 42 ? M···M··········B
00000030: 00 00 00 00 00 00 08 00 45 00 00 3D 30 07 40 00 ? ········E··=0·@·
00000040: 40 11 35 6D C2 2C A8 72 C2 2C A8 70 04 00 00 35 ? @·5m·,·r·,·p···5
00000050: 00 29 82 6B 72 4B 01 00 00 01 00 00 00 00 00 00 ? ·)·krK··········
00000060: 03 77 77 77 07 62 65 72 65 7A 6E 65 03 63 6F 6D ? ·www·berezne·com
00000070: 00 00 01 00 01 16 66 8E 40 E5 B8 07 00 89 00 00 ? ······f·@·······
00000080: 00 89 00 00 00 00 00 02 00 00 00 13 42 00 00 00 ? ············B···
00000090: 00 00 00 08 00 45 00 00 79 25 D8 00 00 40 11 7F ? ·····E··y%···@·
000000A0: 60 C2 2C A8 70 C2 2C A8 72 00 35 04 00 00 65 08 ? `·,·p·,·r·5···e·
000000B0: E1 72 4B 85 80 00 01 00 02 00 01 00 01 03 77 77 ? ·rK···········ww
000000C0: 77 07 62 65 72 65 7A 6E 65 03 63 6F 6D 00 00 01 ? w·berezne·com···
000000D0: 00 01 C0 0C 00 05 00 01 00 00 0E 10 00 02 C0 10 ? ················
000000E0: C0 10 00 01 00 01 00 00 0E 10 00 04 C2 2C A8 70 ? ·············,·p
000000F0: C0 10 00 02 00 01 00 00 0E 10 00 02 C0 10 C0 10 ? ················
00000100: 00 01 00 01 00 00 0E 10 00 04 C2 2C A8 70 16 66 ? ···········,·p·f
00000110: 8E 40 70 46 0B 00 4C 00 00 00 4C 00 00 00 00 04 ? ·@pF··L···L·····
00000120: 02 00 00 00 13 42 00 00 00 00 00 00 08 00 45 00 ? ·····B········E·
-------8<-----------

Не подскажете ли что именно добавляется и характерно ли это только для РРР интерфейса.

Заранее спасибо за любой ответ или ссылку.

• Помогите в разборе Ethernet,TCP/IP и РРР пакетов,.zZz., 22:25 , 04-Май-04
• Помогите в разборе Ethernet,TCP/IP и РРР пакетов,silpol, 14:32 , 09-Май-04
  • Помогите в разборе Ethernet,TCP/IP и РРР пакетов,dipper, 21:27 , 20-Май-04
    • Помогите в разборе Ethernet,TCP/IP и РРР пакетов,silpol, 23:23 , 20-Май-04

>Не подскажете ли что именно добавляется и характерно ли это только для
>РРР интерфейса.
>
>Заранее спасибо за любой ответ или ссылку.
http://www.zeiss.net.ru/docs/technol/tcpip/tcp02.htm
смотри там где про SLIP и далее про PPP говорится.

>Нужна помощь от знатоков Ethernet,TCP/IP и РРР протоколов.
>
>Я пытаюсть выловить из пакетов проходящих ч/з определенный и-фейс адреса источника и
>приемника, длинну пакета с помощью библиотеки libpcap (пишу на Perl и
>использую враппер к libpcap - "Net::Pcap" и сопутствующие модули).

а не проще ли поставить хотя бы тот же ethereal и все это увидеть в более читабельном виде?

>а не проще ли поставить хотя бы тот же ethereal и все
>это увидеть в более читабельном виде?

Спасибо silpol!

Инструмент конечно мощный  - но предстоит сильно разбираться еще
и с ним ;))

>>а не проще ли поставить хотя бы тот же ethereal и все
>>это увидеть в более читабельном виде?
>
>Спасибо silpol!
>
>Инструмент конечно мощный  - но предстоит сильно разбираться еще
>и с ним ;))

разбираться? с ethereal? это все равно что с тостером разбираться... или с карандашом... он простой как двери...

самое главное - это понимать что хочешь получить/найти, остальное все очень просто