我正在尝试编写一个重建 tcp 会话的程序。我有一个包含数据包的 pcap 文件。问题是我不知道在重传时应该使用哪些数据包来构建会话。
重传 http://img412.imageshack.us/img412/4655/retransmission.png
这是 wireshark 展示的关于本次会议的内容。我应该使用哪些数据包来重建会话?第一个数据包还是重传数据包?其中哪些有有效数据?
如果您愿意,我找不到附加 pcap 文件的方法,我可以将 pcap 文件上传到某个地方..
您可能只想提取您确定已交付的数据。这意味着您只需要提取那些已被确认的重传数据包。发送方收到的 ACK 携带接收方已收到的字节数。这些字节是已成功接收的数据。
您需要第一个数据包(我假设您认为是 3 次握手数据包),因为它们带有初始序列号(ISN),因此可以将数据的第一个字节(八位字节)的(绝对)序列号识别为 ISN + 1。
关于实现,你检查过这篇文章吗?