请问wireshark的Follow Tcp stream功能原理是?那个stream index怎么计算出来的?

timke212004 2011-12-15 12:47:48
如题。
我个人的考虑是,follow tcp stream是依靠tcp数据包的32位序号得出来stream index,然后依据这个进行follow,但是具体怎么来的,却想不通,数据进行转换,可是还是不知所以然,求高手指点。
...全文
12968 8 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
8 条回复
切换为时间正序
请发表友善的回复…
发表回复
ruanben 2014-06-30
  • 打赏
  • 举报
 回复
2#,Statistics/Conversations/TCP Statistics/Conversations/endpoints/tcp 可以看到这些索引号对应的数据流 这些 是什么意思???怎么看??
风一样的逗比 2014-04-12
  • 打赏
  • 举报
 回复
请问楼主现在知道什么原理了吗?我最近也在研究这个,有点想不明白
smiletolife2 2012-11-06
  • 打赏
  • 举报
 回复
#2楼的解释很好
timke212004 2011-12-28
  • 打赏
  • 举报
 回复
#2楼的解释很好,“对ip A port A和ip B port B的对应,加上src/dst的转换”,部分正确。对于udp来说没有问题,但是对于tcp而言,还要参考tcp报文的序号。再次感谢二位!
qintel 2011-12-22
  • 打赏
  • 举报
 回复
#2楼解释更合理,就是对ip A port A和ip B port B的对应,加上src/dst的转换。
qintel 2011-12-22
  • 打赏
  • 举报
 回复
the stream index is an internal Wireshark mapping to: [IP address A, TCP port A, IP address B, TCP port B]

All the packets for the same tcp.stream value should have the same values for these fields (though the src/dest will be switched for A->B and B->A packets)

see the Statistics/Conversations/TCP tab in Wireshark to show a summary of these streams

http://stackoverflow.com/questions/6076897/follow-tcp-stream-where-does-field-stream-index-come-from

Statistics/Conversations/TCP
Statistics/Conversations/endpoints/tcp
可以看到这些索引号对应的数据流
qintel 2011-12-22
  • 打赏
  • 举报
 回复
没那么复杂,可能是根据src.ip src.port dst.ip dst.port,生成一个索引号,累加.
TCPParser -- follow tcp stream by python
wireshark自带的follow tcp stream提取出的stream 数据没有时间戳等其他信息,在分析数据的延时和丢包问题时就有些力不从心了。这里简单用python实现了一个简单follow tcp stream功能,同时保留了tcp信息。
基于WiresharkTCP协议工作过程分析.pdf
基于WiresharkTCP协议工作过程分析
作业四:用 Wireshark 分析 TCP segment1
作业四:通过HTTP访问某个网页,使用Wireshark对整个过程中的数据段进行捕获,分析TCP连接建立、数据传输、连接关闭的全过程,至少对其中5个典型的TCP
一站式学习Wireshark
Wireshark详细教程: 一站式学习 Wireshark
Wireshark系列之6 数据流追踪
Wireshark系列之6 数据流追踪 一文用到的资源 wireshark
安全技术/病毒

9,513

社区成员

28,957

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章