我正在尝试编写一个重建tcp会话的程序。我有一个包含数据包的pcap文件。问题是我不知道在重传时我应该使用哪些数据包来构建会话。
retransmission http://img412.imageshack.us/img412/4655/retransmission.png
这是wireshark关于此会话的内容。我应该使用哪些数据包来重建会话?第一个数据包或重新传输的数据包?哪个有有效数据?
如果你想我可以将pcap文件上传到某个地方,我找不到附加pcap文件的方法..
答案 0 :(得分:0)
您可能只想提取您确定已交付的数据。这意味着您只需要提取那些已经被确认的重新传输的数据包。在发送侧接收的ACK携带在接收侧接收的字节数。这些字节是已成功接收的数据。
您需要第一个数据包(我假设您考虑3次握手数据包),因为它们携带初始序列号(ISN),因此可以将数据的第一个字节(八位字节)的(绝对)序列号识别为ISN + 1。
关于实施,您检查了this文章吗?
