Wireshark中TCP segment of a reassembled PDU的含义

By francis_hao    Sep 16,2017

在用Wireshark抓包的时候,经常会看到TCP segment of a reassembled PDU,字面意思是要重组的协议数据单元(PDU:Protocol Data Unit)的TCP段。比如由多个数据包组成的HTTP协议的应答包,如下

这里的分段是指:上层协议HTTP的应答由多个分段组成,每个分段都是TCP协议的。TCP本身没有分段的概念,它的sequence number和acknowledge number 是使TCP是基于流的协议的支撑,TCP segment of a reassembled PDU的出现是因为Wireshark分析了其上层的HTTP协议而给出的摘要,如果配置Wireshark不支持HTTP协议解析

那么,同样的数据包就会变成下面的样子

每个TCP数据包都是这条流中的自身完整的一部分,TCP segment应该表述为分段是TCP协议,而不应该是TCP分段。


本文由 刘英皓 创作,采用 知识共享署名-非商业性使用-相同方式共享3.0中国大陆许可协议 进行许可。欢迎转载,请注明出处:
转载自:http://www.cnblogs.com/yinghao1991/p/7532889.html

参考

【1】博客园 http://www.cnblogs.com/byeyear/p/4300880.html TCP segment of a reassembled PDU

【2】CSDN http://blog.csdn.net/rossini23/article/details/5424850 wireshark里的"TCP segment of a reassembled PDU"

时间: 2024-10-05 05:00:07

Wireshark中TCP segment of a reassembled PDU的含义的相关文章

TCP segment of a reassembled PDU【转】

TCP segment of a reassembled PDU 抓包发现一个TCP segment of a reassembled PDU,搜了一下blog,找到一些博友的文章,很好地解决了我的问题,遂分享 "TCP segment of a reassembled PDU"指的不是IP层的分片,IP分片在wireshark里用"Fragmented IP protocol"来标识.详细查了一下,发现"TCP segment of a reassemb

TCP segment of a reassembled PDU

Wireshark有时候会显示这个东东. 此处PDU是指上层(如HTTP)的Protocol Data Unit,意指上层协议的一个协议段太长,无法放入单个TCP数据包. 如果你在wireshark中禁用相关上层协议分析,就不会显示这个东西了. 网上所谓“根据sequence number来识别(TCP segment of a reassembled PDU),这些数据包ACK number是相同的”这样一个结论并不正确,自行编写network app验证一下就知道了.

[转]使用wireshark分析TCP/IP协议中TCP包头的格式

本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析. 一.概述 TCP是面向连接的可靠传输协议,两个进程互发数据之前需要建立连接,这里的连接只不过是端系统中分配的一些缓存和状态变量,中间的分组交换机不维护任何连接状态信息.连接建立整个过程如下(即三次握手协议): 首先,客户机发送一个特殊的TCP报文段: 其次,服务器用另一个特殊的TCP报文段来响应: 最后,客户机再用第三个特殊报文段作为响应. 图1 三次握

使用wireshark分析TCP/IP协议中TCP包头的格式

摘要:     本文简单介绍了TCP面向连接理论知识,详细讲述了TCP报文各个字段含义,并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析. 一.概述     TCP是面向连接的可靠传输协议,两个进程互发数据之前需要建立连接,这里的连接只不过是端系统中分配的一些缓存和状态变量,中间的分组交换机不维护任何连接状态信息.连接建立整个过程如下(即三次握手协议): 首先,客户机发送一个特殊的TCP报文段: 其次,服务器用另一个特殊的TCP报文段来响应: 最后,客户机再用第三个特殊报文段

使用wireshark分析tcp/ip报文之报文头

以太网报文的结构如下: 其中,以太网的帧头: 14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B. IP头部: TCP头部: http://blog.163.com/[email protected]/blog/static/618945432011101110497885/ http://www.cnblogs.com/zhuzhu2016/p/5797534.html 也就是报文的头部一共有54字节.下面以一个简单的http请求查看

Linux网络编程--wireshark分析TCP包头的格式

摘要:     本文简介了TCP面向连接理论知识,具体讲述了TCP报文各个字段含义.并从Wireshark俘获分组中选取TCP连接建立相关报文段进行分析. 一.概述     TCP是面向连接的可靠传输协议,两个进程互发数据之前须要建立连接,这里的连接仅仅只是是端系统中分配的一些缓存和状态变量,中间的分组交换机不维护不论什么连接状态信息. 连接建立整个步骤例如以下(即三次握手协议): 首先,客户机发送一个特殊的TCP报文段: 其次,server用还有一个特殊的TCP报文段来响应: 最后,客户机再用

Wireshark中的Checksum: 0x90c5 [validation disabled]问题

Wireshark中的Checksum: 0x90c5 [validation disabled]问题 废话不多说先上问题图: 这是我在做关于DNS协议PPT的时候出现的协议树第五项展开结果,可以发现其中有一行为: Header checksum:0x90c5[validation disabled] 按正常情况来说中括号中出现的应该是[correct]而不是[validation disabled],意识是验证禁用,在Wireshark官网上查询了到了这个问题,问题的链接如下: https:/

基于 Wireshark 学习 TCP 三次握手

Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 同类型的软件有:cain.sniffer WinPcap是用于网络封包抓取的一套工具,可适用于32位的操作平台上解析网络封包,包含了核心的封包过滤,一个底层动态链接库,和一个高层系统函数库,及可用来直接存取封包的应用程序界面 Winpcap提供了两个不同的库:packet.dll

调整Win7中TCP/IP半开连接数限制

调整Win7中TCP/IP半开连接数限制 相信大家都有过这样的经历,普通的ADSL宽带下,打开下载工具下载资源时,再想浏览网页就会变得非常困难了,Windows7中也未能幸免. 究其原因,一方面是某些下载软件在下载时为了追求速度会不惜占用全部带宽,另一方面也是由于微软出于安全考虑,限制了系统中的TCP/IP半开连接数. 而去除限制的方法也很简单: * WIN R运行regedit * 找到 HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\T