Я пытаюсь проанализировать полезные данные из пакетов TCP, хранящихся в файле pcap wireshark. Эти полезные данные могут иметь переменную длину, поскольку они поступают из системы, которая может отправлять большие объемы информации или небольшие объемы.
Я начинаю с анализа кадров Ethernet, а затем пакетов IPv4, содержащих пакет TCP. После заголовка пакета TCP я могу найти полезную нагрузку и узнать длину полезной нагрузки.
Поскольку некоторые из этих данных могут охватывать несколько пакетов TCP, я сортирую от низкого до высокого значения для каждой последовательности для каждого набора портов. и адреса. Затем, пройдя через полезную нагрузку, я бы начал с наименьшего порядкового номера для определенного «потока» (поток определяется по его порту dest, порту источника, адресу dest и адресу источника).
В моей логике яЯ предполагаю, что следование определенному потоку от самой низкой до самой высокой последовательности позволит мне видеть все данные в правильном порядкеОднако иногда я вижу, что мне не хватает некоторых данных.
Что-то не так с моим подходом к анализу этих данных? Я чувствую, что пропустил шаг, или что-то не учел