![省略 [重组 PDU 的 TCP 段] 后输出是否完整?](https://linux22.com/image/669211/%E7%9C%81%E7%95%A5%20%5B%E9%87%8D%E7%BB%84%20PDU%20%E7%9A%84%20TCP%20%E6%AE%B5%5D%20%E5%90%8E%E8%BE%93%E5%87%BA%E6%98%AF%E5%90%A6%E5%AE%8C%E6%95%B4%EF%BC%9F.png)
如果tshark -r dumpfile输出包含类型[重组 PDU 的 TCP 段],例如
81 3.164109000 4.5.6.7 -> 12.13.14.15 TLSv1.2 609 应用程序数据
83 3.164523000 4.5.6.7 -> 12.13.14.15 TCP 2802 [重组 PDU 的 TCP 段]
85 3.277723000 4.5.6.7 -> 12.13.14.15 TLSv1.2 4170 应用程序数据
它 是 清除 那 这 方法包含应用程序级 PDU(在本例中为 TLSv1.2)的几个 TCP 段。
如果它从输出中被省略(通过进一步处理,例如grep),那么跟踪是否仍然包含有关流量的所有信息, 或不?
换句话说,从剩下的行(这里是第 81 行和第 85 行)可以看出有多少数据从谁流向了谁?(也可在 ask.wireshark.com 上提问)
答案1
您不能省略这些帧,因为它们是 TCP/TLS 对话的一部分。