Por que a WireShark acredita que esse quadro é um segmento TCP de uma PDU remontada?

Question

Por que a WireShark acredita que esse quadro é um segmento TCP de uma PDU remontada?

#1 resposta do (13 votos)

8

Por favor, encontre um pequeno arquivo pcap aqui ilustrando meu problema.

Eu tenho um handshake TCP de três vias, seguido de dois logons do FIX. (FIX é um protocolo usado na negociação.) O primeiro logon FIX (frame 4) é interpretado e analisado bem por WireShark, mas o segundo logon (frame 6) é interpretado como um TCP segment of a reassembled PDU .

No entanto, o quadro 6 não é um segmento TCP de uma PDU remontada. Ele contém uma PDU TCP completa que deve ser interpretada e analisada como um logon FIX. Verifiquei se os números de sequência, números ACK, comprimentos totais de IP, etc. são bons.

Por que o quadro 6 é interpretado como um segmento TCP de uma PDU remontada?

wireshark tcp

por Randomblue 17.06.2013 / 18:21

1 resposta

Tags wireshark tcp

Postfix: o que exatamente são domínios alias? O que é bridge_fd?

score 13 · Accepted Answer

Ter os hosts numerados .76 e .67 é um pouco entorpecente.

O Wireshark está chamando o quadro 6 de "segmento TCP de uma PDU remontada" porque sua implementação TCP em 10.10.10.67 está optando por enviar um ACK sem carga (um ACK "nu") em vez de incluir a carga útil enviada no quadro 6 com o ACK no quadro 5. (Esse é um comportamento dependente da pilha do OS / IP.) Isso, por sua vez, dispara um comportamento no dissecador TCP para distribuir os payloads dos vários segmentos TCP para o FIX Dissecador. Por qualquer motivo, o dissector FIX não está interpretando o quadro 6.

Se você desativar a opção "Permitir subdissetor para dessegmentar fluxos TCP" nas opções do dissector TCP, você descobrirá que o Wireshark interpreta isso de maneira diferente:

Aquiestá alguma discussão da lista de usuários da wireshark sobre a mesma coisa .