请找到一个小的 pcap 文件这里说明我的问题。
我有三次 TCP 握手,然后是两次 FIX 登录。(FIX 是交易中使用的协议。)第一次 FIX 登录(帧 4)被 WireShark 很好地解释和解析,但第二次登录(帧 6)被解释为TCP segment of a reassembled PDU。
但是第 6 帧不是重组 PDU 的 TCP 段。它包含完整的 TCP PDU,应将其解释并解析为 FIX 登录。我已检查序列号、ACK 编号、IP 总长度等均正常。
为什么第 6 帧被解释为重组 PDU 的 TCP 段?
答案1
东道主的胜率只有 0.76 和 0.67,这让人有点摸不着头脑。
Wireshark 将帧 6 称为“重组 PDU 的 TCP 段”,因为 10.10.10.67 上的 TCP 实现选择发送不带有效载荷的 ACK(“裸”ACK),而不是包括在帧 6 中发送的有效载荷和帧 5 中的 ACK。(这是一种依赖于 OS/IP 堆栈的行为。)这反过来会触发 TCP 解析器中的行为,将多个 TCP 段中的有效载荷移交给 FIX 解析器。无论出于何种原因,FIX 解析器都不会解释帧 6。
如果您关闭 TCP 解析器选项中的“允许子解析器对 TCP 流进行分段”选项,您会发现 Wireshark 对此的解释不同:
