关于WireShark跟随数据流后entire conversation显示的字节数分析

1.发现问题

在一次通过数据包还原实验中，发现对传输文件流量进行跟随tcp流跟踪，显示的entire conversation和还原出的文件大小有不可忽视的差距。具体介绍如下图

还原文件



文件大小有了差别

2.查找原因

初步怀疑：原始二进制文件保存为其他文件会变大
进行验证：直接将原始数据写入文件，观察大小

复制原始文件数据

用WinHex新建文件，内容全为0

选择ASCII Hex

写入文件大小好zip一样，所以和存储形式无关，且可知传输的文件大小是775,108byte而不是678kb。
对此结论进一步验证

对tcp流的进一步统计


观察左下角，发现整个tcp流传输的数据大小为，755kb
所以，在跟踪tcp流窗口中，entire conversation显示的大小不是完整的传输大小
对此，通过科学上网查到相关内容
entire conversation 应该省去了以太网，IP和TCP的协议标头的开销
不知道对不对，反正以后尽量不要以这个显示作为数据还原大小的判断依据