8

我在wireshark中打开了一个pcap,它把很多数据包显示为“重新组装的pdu的tcp段”。wireshark 如何能够确定哪些 tcp 数据包是重新组装的 pdu 的片段?我找不到任何标头字段或wireshark可以确定的任何其他内容。

任何帮助将不胜感激。谢谢 !!!

4

1 回答 1

12

序列号是有助于重新组装的字段。假设您要发送数据字节 1-300。

例如,它们被分成大小为 100 的 3 个段,即第一个(1-100 字节数)、第二个(101-200)和第三个(201-300)。现在即使它们被乱序接收,序列号也不会改变。所以当重组数据时,你会知道数据包的原始顺序,因此wireshark可以显示组装好的数据包。

如果 SYN 标志清零 (0),则这是当前会话的此数据包的第一个数据字节的累积序列号。

TCP

请记住,这与 ip 分片和重组不同。IP头有字段来指定是否有分片,如果有,当前数据包的分片号是多少。

于 2012-10-11T11:39:35.367 回答