Ich öffne unter Ubuntu das Terminal und gebe den Befehl "ping [IP des Zielrechners] -s 5000" ein. Somit wird ein Ping mit einer Größe von 5000 Bytes an den Zielrechner gesendet. Darauf bekomme ich folgendes zurück:

"PING [IP des Zielrechners] (IP des Zielrechners) 5000(5028) bytes of Data. 5008 bytes from [IP des Zielrechners]: icmp req=[Nummer der Anfrage] ttl=64 time=1,69 ms"

Wofür stehen die 5028 und 5008? Ich habe doch nur 5000 senden wollen?

Ich kann mir nur denken, dass es etwas mit dem ICMP packet und Payload (http://en.wikipedia.org/wiki/Ping_(networking_utility)) zu tun hat. Das sind nämlich 20 und 8 Bytes. Aber warum einmal nur 5008 Bytes, wo ist da das Packet hin?

Eventuell sendet dir der Zielrechner in den weiteren 8 Byte irgendwelche Infos mit (zb. wann er das Paket erhalten hat). Und auf eine Angabe der Payload wurde bei der zweiten Aufschlüsselung eben verzichtet.

Ich kann mir nur denken, dass es etwas mit dem ICMP packet und Payload (http://en.wikipedia.org/wiki/Ping_(networking_utility)) zu tun hat. Das sind nämlich 20 und 8 Bytes. Aber warum einmal nur 5008 Bytes, wo ist da das Packet hin?
Die 20 Bytes sind der Header. Der Header ist aber nur für die Übertragung notwendig. Wahrscheinlich wird der Header weggeworfen, bevor Ubuntu die Daten bekommt. ;)
@Flyinglosi: Du hast Header und Payload vertaucht, bei Ubuntu kommt nur der Payload (8 Byte) mit den Daten an.

Aus der entsprechenden Linux man page [Icmp Packet Details (http://linux.die.net/man/8/ping)]:

An IP header without options is 20 bytes. An ICMP ECHO_REQUEST packet contains an additional 8 bytes worth of ICMP header followed by an arbitrary amount of data. When a packetsize is given, this indicated the size of this extra piece of data (the default is 56). Thus the amount of data received inside of an IP packet of type ICMP ECHO_REPLY will always be 8 bytes more than the requested data space (the ICMP header).

Grüße: X.Perry_Mental

Habe den Datenverkehr mal mit Wireshark mitgeschnitten und mir nur Pakete anzeigen lassen, welche die gleiche IP als Quelle haben.

http://riederwald.mine.nu/anonymous/Bilder/Bildschirmfoto-1.png

Warum haben Request und Reply den gleichen Absender? Ich dachte Reply wäre die Antwort und müsste daher vom anderen Rechner kommen?

- Wenn du nach "src=x.x.x.108" filterst, bekommst du nur die Zeilen, die x.x.x.108 als Source haben.
- Die ICMP-IDs von Request und Reply stimmen nicht überein.

Und was bedeutet das? Waren die Replys dann vom eigenen Rechner eine Antwort auf einen fremden Ping?

Filter einfach nach ICMP und nicht nach der SRC Adresse. Wir können nicht hellsehen.

Wir können nicht hellsehen.Ich schon, ich halt's nur geheim.