我正在尝试从Wireshark pcap文件中存储的TCP数据包中解析有效负载。这些有效载荷的长度可以可变,因为它们来自可能发送大量信息或少量信息的系统。
我首先解析以太网帧,然后解析包含TCP数据包的IPv4数据包。在TCP数据包头之后,我能够找到有效载荷并知道有效载荷的长度。
由于其中一些数据可以跨越多个TCP数据包,因此对于每组端口和地址,我从低到高依次排序。然后遍历有效负载时,我将从特定“流”的最低序列号开始(流由其目标端口,源端口,目标地址和源地址标识)。
按照我的逻辑,我假设按照从最低到最高的顺序跟随特定的流,应该可以让我以正确的顺序查看所有数据。但是,有时我会丢失一些数据。
我解析这些方法的方法有问题吗?我觉得我错过了一步,或者没有考虑到任何事情