WireShark neden bu çerçevenin yeniden bir araya getirilmiş PDU'nun TCP segmenti olduğunu düşünüyor?

9

Lütfen burada sorunumu gösteren küçük bir pcap dosyası bulun .

Üç yönlü TCP el sıkışma, ardından iki FIX oturum açma var. (FIX, ticarette kullanılan bir protokoldür.) İlk FIX oturumu (çerçeve 4) WireShark tarafından iyi yorumlanır ve ayrıştırılır, ancak ikinci oturum açma (çerçeve 6) a olarak yorumlanır TCP segment of a reassembled PDU.

Bununla birlikte, çerçeve 6 yeniden birleştirilmiş PDU'nun bir TCP segmenti değildir . Bir FIX oturumu olarak yorumlanması ve ayrıştırılması gereken tam bir TCP PDU içerir. Sıra numaralarının, ACK numaralarının, IP toplam uzunluklarının vb.

Çerçeve 6 neden yeniden birleştirilmiş PDU'nun TCP segmenti olarak yorumlanıyor?

tcp  wireshark 
Randomblue
kaynak
Bu nedenle yaşadığınız bir sorun var mı?
Nathan C
1
Evet, tüm bu kareleri oluşturuyorum ve yaptığım şeyde açıkça bir sorun var.
Randomblue
1
Sorunuza 4 ve 6 numaralı çerçevelerin (ve belki de bitişik çerçevelerin) göze çarpan ayrıntılarını eklemenizi şiddetle tavsiye ederim. Pcap dosyasına bağlantı harika, ama okuyucuların sadece küçük bir azınlığı gerçekten indirmek ve görüntülemek için eğimli olacak.
Skyhawk
İlk bakışta hiçbir şey bulamıyorum. Segment 4 parçalanmamış. Çerçeve 6 hedeften ve bu çerçeve 6'nın çerçeve 4'ün sunucu yanıtı olarak yorumlanması gerektiğini söylüyorsunuz, yani FIX oturum açma işlemi orada yapılmalıdır. sağ.
Soham Chakraborty

Yanıtlar:

15

Ana bilgisayarların .76 ve .67 olarak numaralandırılması biraz kafa karıştırıcıdır.

Wireshark, 10.10.10.67'deki TCP uygulamanız, 6. karede gönderilen yükü eklemek yerine bir ACK yüksüz (bir "açık" ACK) göndermeyi seçtiği için 6. kareye "yeniden birleştirilmiş PDU'nun TCP segmenti" adını veriyor. Çerçeve 5'teki ACK ile birlikte. (Bu, OS / IP yığınına bağımlı bir davranıştır.) Bu da, TCP yükleyicisindeki yükleri birden çok TCP segmentinden FIX ayırıcısına dağıtmak için bir davranışı tetikler. Hangi nedenle olursa olsun, FIX disektörü çerçeve 6'yı yorumlamaz.

TCP disektör seçeneklerinde "Alt disektör TCP akışlarının belirlenmesine izin ver" seçeneğini kapatırsanız, Wireshark'ın bunu farklı yorumladığını görürsünüz:

Wireshark ekran görüntüsü

İşte aynı şey hakkında wireshark kullanıcıları listesinden bazı tartışmalar .

Evan Anderson
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.