我正在尝试编写一个重建 tcp 会话的程序。我有一个包含数据包的 pcap 文件。问题是我不知道在重新传输时应该使用哪些数据包来构建会话。
http://img412.imageshack.us/img412/4655/retransmission.png
以下是 wireshark 显示的有关此会话的信息。我应该使用哪些数据包来重建会话?第一个数据包还是重新传输的数据包?其中哪些有有效数据?
我找不到附加 pcap 文件的方法,如果您愿意,我可以将 pcap 文件上传到某个地方。很抱歉,我无法在此处发布图片,因为我的声誉不够。
答案1
没关系,它们都应该在相同的字节位置上具有相同的数据。如果它们不同,则任意哪个是“正确的”。(并且,实际上,除非有人故意滥用 TCP 来创建反向通道或类似的东西,否则这种情况永远不会发生。)