2025年通信工程师以太网帧捕获与Wireshark实战分析专题试卷及解析.pdfVIP

2025年通信工程师以太网帧捕获与WIRESHARK实战分析专题试卷及解析1

2025年通信工程师以太网帧捕获与Wireshark实战分析

专题试卷及解析

2025年通信工程师以太网帧捕获与Wireshark实战分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Wireshark中，用于过滤显示所有HTTP流量的显示过滤器表达式是什么？

A、tcp.port==80

B、http

C、to==6andtcp.port==80

D、eth.type==0x0800

【答案】B

【解析】正确答案是B。Wireshark的显示过滤器支持协议名称直接过滤，“http”是

最简洁且准确的HTTP流量过滤方式。选项A虽然能捕获部分HTTP流量，但会遗

漏使用非标准端口的HTTP服务。选项C过于冗长且同样存在端口限制问题。选项D

过滤的是IPv4流量，范围过大。知识点：Wireshark显示过滤器的语法和协议过滤。易

错点：混淆捕获过滤器和显示过滤器的语法，或过度依赖端口号进行协议判断。

2、以太网帧结构中，用于标识上层协议类型的字段是？

A、前导码

B、目的MAC地址

C、类型/长度

D、帧校验序列

【答案】C

【解析】正确答案是C。以太网帧中的”类型/长度”字段（EtherType）用于标识承载

的上层协议，如0x0800表示IPv4，0x0806表示ARP。选项A用于同步，选项B是

接收方地址，选项D用于错误校验。知识点：以太网帧结构各字段功能。易错点：与

802.3帧格式中的”长度”字段混淆，实际上现代网络多使用Type字段。

3、在Wireshark中捕获数据包时，若要只捕获与特定IP地址通信的

流量，应使用的捕获过滤器是？

A、host

B、ip.addr==

C、ip.src==orip.dst==

D、eth.addr==

【答案】A

【解析】正确答案是A。捕获过滤器使用BPF语法，“host”关键字会匹配源或目标

IP。选项B是显示过滤器语法，不适用于捕获阶段。选项C虽然逻辑正确但语法错误。

2025年通信工程师以太网帧捕获与WIRESHARK实战分析专题试卷及解析2

选项D试图用MAC地址匹配IP，显然错误。知识点：捕获过滤器与显示过滤器的区

别。易错点：混淆两种过滤器的语法规则。

4、当Wireshark显示TCP包的”WindowSize”值为65535时，这表示什么？

A、接收方缓冲区已满

B、接收方缓冲区大小为64KB

C、发送方要求立即停止传输

D、发生了零窗口现象

【答案】B

【解析】正确答案是B。TCP窗口字段表示接收方可用的缓冲区大小，65535是16

位字段的最大值，即64KB。选项A应为0，选项C是RST标志位功能，选项D指

窗口值为0的情况。知识点：TCP流量控制机制。易错点：混淆窗口值与TCP标志位

的含义。

5、在分析捕获的HTTPS流量时，Wireshark显示为”ApplicationData”但无法解

密内容，原因是？

A、未启用SSL/TLS解密

B、使用了非标准端口

C、Wireshark版本过旧

D、数据包已损坏

【答案】A

【解析】正确答案是A。HTTPS流量经过TLS加密，需要配置私钥才能解密。选

项B不影响解密，选项C和D与加密无关。知识点：TLS/SSL加密原理及Wireshark

解密配置。易错点：误以为Wireshark能自动解密所有加密流量。

6、以太网帧的最小有效载荷长度是多少字节？

A、46字节

B、64字节

C、18字节

D、1500字节

【答案】A

【解析】正确答案是A。以太网帧最小64字节（含头部尾部），去除14字节头部和

4