Ich öffnete ein pcap in wireshark und es zeigt viele Pakete als "tcp-Segment eines wieder zusammengesetzten PDU". Wie kann Wireshark feststellen, welche TCP-Pakete Segmente eines neu zusammengesetzten PDUs sind? Ich finde kein Header-Feld oder irgendetwas anderes, worüber wirshark das feststellen kann.
Jede Hilfe wird sehr geschätzt. DANKE !!!
Sequenznummer ist das Feld, das beim erneuten Zusammenfügen hilft. Angenommen, Sie haben Datenbytes 1-300 zum Senden.
Zum Beispiel wurden sie in 3 Segmente der Größe 100 jeweils geteilt , d. h. erste (1-100 Byte-Zahl), zweite (101 - 200) und dritte (201 - 300). Auch wenn sie nicht in der richtigen Reihenfolge empfangen werden, ändern sich die Sequenznummern nicht . Wenn Sie also die Daten neu zusammensetzen, kennen Sie die ursprüngliche Reihenfolge der Pakete, und daher kann wireshark die zusammengestellten Pakete anzeigen.
Wenn das SYN-Flag gelöscht ist (0), ist dies die akkumulierte Sequenznummer des ersten Datenbytes dieses Pakets für die aktuelle Sitzung.
Denken Sie daran, dass dies anders ist als bei der ip-Fragmentierung und -Reassemblierung. Der IP-Header enthält Felder, die angeben, ob Fragmente vorhanden sind, und wenn ja, wie groß ist die Fragmentnummer des aktuellen Pakets.
Tags und Links wireshark network-programming packet-capture tcpdump wireshark-dissector