filtros tcp.length y tcp.data wireshark

Estaba jugando con Wireshark y noté dos filtros: tcp.leny tcp.data. ¿Cuál es la diferencia entre los dos? Hasta donde sé, el tcp.lencampo (longitud) indica cuántos bytes de datos viajan dentro de un segmento, ¿correcto?

gracias por adelantado :)

En pocas palabras, tcp.lenfiltra la longitud de los datos del segmento TCP en bytes, mientras que tcp.data(o tcp.segment_dataen las versiones más recientes de Wireshark) filtra los datos reales (secuencia de bytes) dentro de los datos del segmento TCP.

Ejemplo:

• tcp.len == 1
  • Filtros para datos de segmento TCP que tienen exactamente 1 byte de longitud
    
    
• tcp.segment_data contains 49:27:6d:20:64:61:74:61
  • Filtros para datos de segmento TCP que contienen la secuencia hexadecimal de 49: 27: 6d: 20: 64: 61: 74: 61

Referencia rápida para filtros TCP