TCP-Sitzung - HTTP-Anfrage [x von y] in Wireshark-Erfassung

Question

Es ist wahrscheinlich, dass es sich um zwei Anfragen in derselben Verbindung handelt, weil:

Die Endpunkte der Verbindung, also Quellport, Quell-IP, Zielport und Ziel-IP, sind für beide Anfragen genau gleich. Normalerweise ist der Quellport flüchtig und wird nicht schnell für eine andere Verbindung wiederverwendet.
Die erste Anfrage hat eine (relative) Startsequenz von 1 mit einer Länge von 9 und die zweite scheint unmittelbar darauf zu folgen, da sie eine Startsequenz von 10 hat.
Die angezeigten Zeitinformationen lassen darauf schließen, dass diese Anfragen dicht beieinander liegen.

Dies lässt sich jedoch nicht mit Sicherheit sagen, ohne weitere Teile der Verbindung zu sehen, d. h. ohne herauszufinden, ob zwischen den Anfragen ein Verbindungsabbau (FIN) und -aufbau (SYN) für dieselben Endpunkte stattfand.

Beachten Sie, dass sich HTTP-Client und -Server sehr seltsam verhalten, wenn es sich tatsächlich um zwei Anfragen innerhalb derselben Verbindung handelt, oder dass überhaupt kein (richtiges) HTTP vorhanden ist. Wenn es als HTTP betrachtet wird, wie es von Wireshark analysiert wird, würde der Client eine HTTP 0.9-Anfrage stellen (einzelne Zeile in der Anfrage, d. h. kein vollständiger HTTP/1.x-Header), was ohnehin ungewöhnlich ist (seit Ewigkeiten veraltet). Zusätzlich würde der Server trotz der HTTP 0.9-Anfrage HTTP-Keep-Alive ausführen (d. h. mehrere HTTP-Anfragen innerhalb einer einzelnen TCP-Verbindung), obwohl HTTP-Keep-Alive erst seit HTTP 1.0 mit einem expliziten Connection: keep-aliveHeader in der Anfrage oder seit HTTP 1.1 implizit definiert ist.

Answer 1

Es ist wahrscheinlich, dass es sich um zwei Anfragen in derselben Verbindung handelt, weil:

Die Endpunkte der Verbindung, also Quellport, Quell-IP, Zielport und Ziel-IP, sind für beide Anfragen genau gleich. Normalerweise ist der Quellport flüchtig und wird nicht schnell für eine andere Verbindung wiederverwendet.
Die erste Anfrage hat eine (relative) Startsequenz von 1 mit einer Länge von 9 und die zweite scheint unmittelbar darauf zu folgen, da sie eine Startsequenz von 10 hat.
Die angezeigten Zeitinformationen lassen darauf schließen, dass diese Anfragen dicht beieinander liegen.

Dies lässt sich jedoch nicht mit Sicherheit sagen, ohne weitere Teile der Verbindung zu sehen, d. h. ohne herauszufinden, ob zwischen den Anfragen ein Verbindungsabbau (FIN) und -aufbau (SYN) für dieselben Endpunkte stattfand.

Beachten Sie, dass sich HTTP-Client und -Server sehr seltsam verhalten, wenn es sich tatsächlich um zwei Anfragen innerhalb derselben Verbindung handelt, oder dass überhaupt kein (richtiges) HTTP vorhanden ist. Wenn es als HTTP betrachtet wird, wie es von Wireshark analysiert wird, würde der Client eine HTTP 0.9-Anfrage stellen (einzelne Zeile in der Anfrage, d. h. kein vollständiger HTTP/1.x-Header), was ohnehin ungewöhnlich ist (seit Ewigkeiten veraltet). Zusätzlich würde der Server trotz der HTTP 0.9-Anfrage HTTP-Keep-Alive ausführen (d. h. mehrere HTTP-Anfragen innerhalb einer einzelnen TCP-Verbindung), obwohl HTTP-Keep-Alive erst seit HTTP 1.0 mit einem expliziten Connection: keep-aliveHeader in der Anfrage oder seit HTTP 1.1 implizit definiert ist.

TCP-Sitzung - HTTP-Anfrage [x von y] in Wireshark-Erfassung

Antwort1

verwandte Informationen