Si prega di trovare un piccolo file pcap qui che illustra il mio problema.
Ho un handshake TCP a tre vie, seguito da due accessi FIX. (FIX è un protocollo utilizzato nel trading.) Il primo accesso FIX (frame 4) viene interpretato e analizzato correttamente da WireShark, ma il secondo accesso (frame 6) viene interpretato come a TCP segment of a reassembled PDU.
Tuttavia, il frame 6 non è un segmento TCP di una PDU riassemblata. Contiene una PDU TCP completa che deve essere interpretata e analizzata come accesso FIX. Ho verificato che i numeri di sequenza, i numeri ACK, le lunghezze totali IP, ecc. Siano tutti validi.
Perché il frame 6 viene interpretato come un segmento TCP di una PDU riassemblata?
C'è un problema che stai riscontrando a causa di questo?
—
Nathan C,
Sì, sto generando tutti questi frame e c'è chiaramente qualcosa di sbagliato in quello che ho fatto.
—
Randomblue,
Suggerirei vivamente di includere i dettagli salienti dei frame 4 e 6 (e forse dei frame adiacenti) nella tua domanda. Il collegamento al file pcap è eccezionale, ma solo una piccola minoranza di lettori sarà incline a scaricarlo e visualizzarlo.
—
Skyhawk,
A prima vista, non riesco a trovare nulla. Il segmento 4 non è frammentato. Il frame 6 proviene dalla destinazione e stai dicendo che questo frame 6 dovrebbe essere interpretato come la risposta del server del frame 4. vale a dire che l'accesso FIX dovrebbe essere fatto lì. destra.
—
Soham Chakraborty,
