我正在尝试剖析在TCP之上运行的某些协议。消息有时被分成不同的数据包 - 遗憾的是我没有办法确定消息的预期长度(协议不会宣布这一点)。确定消息传输完成的唯一方法是等待设置了FIN,ACK标志的TCP / IP数据包。
问题是我的解剖器甚至不知道TCP / IP协议(现在也不应该关注它)。有没有办法在看到FIN,ACK之前重新组合所有数据包?
答案 0 :(得分:1)
那么整个TCP连接只包含一条消息?您可以在DESEGMENT_UNTIL_FIN中指定pinfo->desegment_len。有关详细信息,请参阅epan/packet_info.h。