在 wireshark 中有时我会看到这种情况:
478195 5738.896809 192.168.1.79 61.213.44.124 TCP [TCP segment of a reassembled PDU]
什么是 PDU?它被重新组装了吗?这是什么意思?
答案1
“PDU” 是“协议数据单元”。根据给定协议传输的一个信息单元(例如,“登录用户名非常长的 base64 编码认证数据”然后等待服务器响应)如果太大而无法放入一个数据包(或在本例中为段)中,则将被拆解为许多数据包(较小的部分)。
这是正常的,只是 TCP/IP 按设计运行。
答案2
这也可能是 wireshark 误解了底层应用程序级协议,例如前两个数据字节是“00 01”。尝试关闭 TCP 流的重组(编辑 -> 首选项 -> 在协议中选择 TCP -> 取消选中“允许子解析器重组 TCP 流”),然后查看它显示的数据有效负载。如果数据与您的应用程序协议相对应,那么这很可能不是重组的 PDU,只是 wireshark 误解了。