Как Wireshark замечает, какие TCP-пакеты принадлежат одному и тому же HTTP-ответу?

Question

По каким полям TCP-пакета мы можем определить, является ли он продолжением предыдущего TCP-пакета?

Answer 1

Чтобы быть частью одного и того же потока TCP, сегменты TCP должны принадлежать одному сеансу .ie иметь одинаковый IP-адрес источника, исходный порт, IP-адрес назначения и порт назначения.

Один раздва сегмента относятся к одному и тому же потоку, их можно упорядочить по полю порядкового номера в заголовке TCP.Порядковый номер следующего сегмента должен быть равен порядковому номеру предыдущего сегмента плюс количество байтов в предыдущем сегменте.

Так что, если мы имеемсегмент с seq # 1000 и полезной нагрузкой 200 байтов, следующий должен иметь номер 1200.

Answer 2

TCP : порядковый номер, номер подтверждения.В Wireshark вы можете щелкнуть правой кнопкой мыши на пакете и выбрать «Follow» для отслеживания потока TCP или HTTP.Это должно помочь увидеть, как значения меняются от пакета к пакету.