我正在使用一种工具来获取pcap文件(在这种情况下是从wirehark获取,并尝试从TCP数据包中解析出数据。
现在,在这种情况下,我只关心一个方向的数据。因此,我的逻辑是通过protocol-destIP-sourceIP-destPort-sorcePort将每个Wirehark捕获的数据包分类为一个列表。
因此,从这一点出发,我现在有了一个特定端口上仅一个方向的数据包列表。
从这里我只希望能够按顺序遍历TCP有效负载的主体。像按序号顺序排序一样简单吗?
我只是简单地获取第一个序列号,将有效负载大小添加到其中,并希望它是下一个发送的TCP数据包?还有更多我想念的吗?
我注意到以这种方式对接口进行排序时,最终我得出了一个有意义的序列。我想我可以假设这是下一个流的开始?我知道如果必须考虑来回的流量会变得更加困难...但是在这种情况下,我只想在一个方向上查看数据包。
Wireshark捕获线上的数据包。可能会发生数据包未按顺序到达,数据包损坏(校验和不正确),数据包重复的情况……-而这忽略了旨在混淆分析的可能攻击。 TCP堆栈将解决所有这些问题,以便应用程序获取正确的数据包,但Wireshark在TCP堆栈之外工作。因此,尽管在大多数情况下您的简单过程可能会起作用(假设您至少检查了TCP标志的连接开始和结束),但在某些情况下它可能会失败。