sessione tcp - richiesta http [x out di y] nell'acquisizione di wireshark

0

Come sotto, sto vedendo questo [richiesta HTTP 1/2] e [richiesta HTTP 2/2] in 2 payload separati, sono separati la richiesta GET in una singola sessione TCP o sono la stessa richiesta GET ???

enter image description here enter image description here

====

Aggiunto completo catturato pic1 enter image description here

pic2 enter image description here pic3 enter image description here

http  tcp  wireshark  tcpip  tcpdump 
Noob
fonte
Uno dei pacchetti TCP mostra la sequenza 1 dove l'altro mostra la sequenza 10e ci sono differenze nelle opzioni TCP per TSval e il TSecr per tutto ciò che vale dall'ovvio sguardo sopra.
Pimp Juice IT

Risposte:

1

È probabile che si tratti di due richieste nella stessa connessione perché:

  • Gli endpoint della connessione, ad esempio la porta di origine, l'IP di origine, la porta di destinazione e l'IP di destinazione per entrambe le richieste sono esattamente gli stessi. Solitamente la porta di origine se effimera e non viene riutilizzata rapidamente per un'altra connessione.
  • La prima richiesta ha una sequenza di inizio (relativa) di 1 con una lunghezza di 9 e la seconda sembra seguirla immediatamente avendo una sequenza di avvio di 10.
  • Le informazioni sui tempi mostrate suggeriscono che queste richieste sono vicine tra loro.

Ma è impossibile definirlo senza vedere più parti della connessione, cioè scoprire se c'è una connessione teardown (FIN) e setup (SYN) per gli stessi endpoint tra le richieste.

Si noti che se si tratta in realtà di due richieste all'interno della stessa connessione, si tratta di un comportamento molto strano del client e del server HTTP o del protocollo HTTP (proprio). Se visto come HTTP come analizzato da wireshark, il client farebbe una richiesta HTTP 0.9 (singola riga in richiesta, cioè nessuna intestazione HTTP / 1.x completa) che è inusuale in primo luogo (obsoleta da anni). Inoltre, il server renderebbe HTTP keep-alive (cioè più richieste HTTP all'interno di una singola connessione TCP) nonostante la richiesta HTTP 0.9 anche se l'HTTP keep alive è definito solo da HTTP 1.0 con un esplicito Connection: keep-alive intestazione nella richiesta o dal momento che HTTP 1.1 implicitamente.

Steffen Ullrich
fonte
Ciao steffen, ho aggiornato il mio post originale con la cattura completa. Sei in grado di dire se il 2 GET è normale. se appartengono alla stessa sessione, sono 2 richieste GET separate?
Noob
@Nob: questo non fornisce tutte le informazioni richieste poiché mostra solo i dettagli di una singola richiesta. Ma dato che Wireshark afferma che questa è la richiesta HTTP 2/2 è ancora più probabile che questa sia la stessa connessione TCP. Per essere veramente sicuro usare seguire lo stream TCP da una richiesta e vedere se l'altra richiesta è nella stessa connessione TCP. E ancora, se si tratta di due richieste HTTP 0.9 nella stessa connessione non è normale dato che con HTTP 0.9 è consentita solo una singola richiesta per connessione TCP.
Steffen Ullrich
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.