Filtros wireshark tcp.length e tcp.data

Eu estava brincando com o Wireshark e notei dois filtros: tcp.lene tcp.data. Qual é a diferença entre os dois? Até onde eu sei, o tcp.lencampo (comprimento) informa quantos bytes de dados trafegam dentro de um segmento, correto?

desde já, obrigado :)

Simplificando, tcp.lenfiltra o comprimento dos dados do segmento TCP em bytes, enquanto tcp.data(ou tcp.segment_datanas versões mais recentes do Wireshark) filtra os dados reais (sequência de bytes) nos dados do segmento TCP.

Exemplo:

• tcp.len == 1
  • Filtros para dados do segmento TCP com exatamente 1 byte de comprimento
    
    
• tcp.segment_data contains 49:27:6d:20:64:61:74:61
  • Filtros para dados do segmento TCP que contêm a sequência hexadecimal de 49: 27: 6d: 20: 64: 61: 74: 61

Referência rápida para filtros TCP