ทำไม WireShark จึงคิดว่าเฟรมนี้เป็นส่วน TCP ของ PDU ที่ประกอบขึ้นใหม่

โปรดหาไฟล์ pcap ขนาดเล็กที่นี่เพื่ออธิบายปัญหาของฉัน

ฉันมี TCP handshake สามทางแล้วตามด้วยการเข้าสู่ระบบ FIX สองครั้ง (แก้ไขเป็นโปรโตคอลที่ใช้ในการซื้อขาย.) เข้าสู่ระบบการแก้ไขครั้งแรก (กรอบ 4) คือการตีความและการแยกวิเคราะห์เพียงแค่ปรับโดย WireShark แต่การเข้าสู่ระบบที่สอง (กรอบ 6) TCP segment of a reassembled PDUจะถูกตีความว่าเป็น

อย่างไรก็ตาม frame 6 ไม่ใช่ส่วน TCP ของ PDU ที่ประกอบขึ้นใหม่ มันมี TCP PDU เต็มรูปแบบที่ควรตีความและแยกวิเคราะห์เป็นเข้าสู่ระบบแก้ไข ฉันได้ตรวจสอบแล้วว่าลำดับหมายเลขหมายเลข ACK ความยาวทั้งหมดของ IP และอื่น ๆ นั้นดีทั้งหมด

ทำไมเฟรม 6 ตีความเป็นส่วน TCP ของ PDU ที่ประกอบขึ้นใหม่?

การมีโฮสต์ที่มีหมายเลข. 76 และ. 67 เป็นสิ่งที่ทำให้ใจมึนงงเล็กน้อย

Wireshark กำลังเรียกเฟรม 6 เป็น "ส่วน TCP ของ PDU ที่ประกอบขึ้นใหม่" เนื่องจากการติดตั้ง TCP ของคุณใน 10.10.10.67 กำลังเลือกที่จะส่ง ACK ที่ไม่มีส่วนของข้อมูล (ACK "เปล่า") แทนที่จะรวมถึงส่วนของข้อมูลที่ส่งในเฟรม 6 w / ACK ในเฟรมที่ 5 (นี่เป็นลักษณะการทำงานแบบขึ้นกับ OS / IP) นี่คือการทริกเกอร์พฤติกรรมในตัวแยก TCP เพื่อแจก payloads จากหลาย ๆ TCP TCP ไปยังตัวแยก FIX ไม่ว่าด้วยเหตุผลใดผู้แก้ไข FIX จะไม่ตีความกรอบที่ 6

หากคุณปิดตัวเลือก "อนุญาตให้ตัวแยกย่อยมอบหมาย TCP สตรีม" ในตัวเลือกของตัวแยกข้อมูล TCP คุณจะพบว่า Wireshark ตีความสิ่งนี้แตกต่างกัน:

นี่คือการสนทนาบางส่วนจากรายการ Wireshark ผู้ใช้เกี่ยวกับสิ่งเดียวกัน