Tcp重傳tcp會話重構

Question

我試圖編寫重建tcp會話的程序。我有一個有數據包的pcap文件。問題是我不知道在重傳時我應該使用哪些數據包來構造會話。

retransmission http://img412.imageshack.us/img412/4655/retransmission.png

這裏是Wireshark的顯示關於本次會議。我應該使用哪些數據包來重建會話？第一個數據包還是重傳數據包？哪些人有有效的數據？

我不能找到一種方法來連接PCAP文件，如果你想我可以上傳文件PCAP某處..

Answer 1

你可能想只提取其中你確定已交付的數據。這意味着你只需要提取那些已被ACK-ed重發的數據包。發送端收到的ACK包含接收端收到的字節數。這些字節是已成功接收的數據。

因爲它們攜帶初始序列號（ISN），因此您需要第一個數據包（我假設您想到三次握手數據包），因此可以將數據的第一個字節（八位字節）的（絕對）序列號識別爲ISN + 1

關於執行，你有沒有檢查this文章？