Tcp重传tcp会话重建

Question

我正在试着写一个重建tcp会话的程序。我有一个包含数据包的pcap文件。问题是，当有重传时，我不知道应该使用哪些数据包来构建会话。

retransmission http://img412.imageshack.us/img412/4655/retransmission.png

以下是wireshark在本次会议上展示的内容。我应该使用哪些数据包来重建会话？第一个数据包还是重新传输的数据包？其中哪些数据是有效的？

我找不到一种方法来附加pcap文件，如果你想我可以上传pcap文件到某个地方..

Answer 1

您可能希望仅提取您确信已交付的数据。这意味着您只需要提取那些已被确认的重新传输的数据包。在发送端接收到的ACK携带在接收端已经接收到的字节数。这些字节是已成功接收的数据。

您需要第一个数据包(我假设您认为是3次握手数据包)，因为它们携带初始序列号( ISN )，以便可以将数据的第一个字节(八位字节)的(绝对)序列号识别为ISN+ 1。

关于实现，你看过this的文章了吗？