我在wireshark中打开了一个pcap,它显示了很多数据包作为“重新组装的pdu的tcp段”。 wireshark如何确定哪些tcp数据包是重组pdu的片段?我无法找到任何标题字段或其他任何wirehark可以确定这一点。
任何帮助将不胜感激。谢谢!!!
答案 0 :(得分:11)
序列号是有助于重组的字段。假设您有要发送的数据字节1-300。
例如,他们被分成 3个大小为100的段,即第一个(1-100个字节的数字),第二个(101-200个)和第三个(201-300个)。现在即使它们被无序接收,序列号也不会改变。因此,在重新组装数据时,您将知道数据包的原始顺序,因此wireshark可以显示已组装的数据包。
如果SYN标志清零(0),则这是当前会话的该数据包的第一个数据字节的累计序列号。
请记住,这与ip碎片和重组不同。 IP头具有用于指定是否存在片段的字段,如果存在,则当前数据包的片段数是多少。