Estoy intentando escribir un programa que reconstruya las sesiones TCP. Tengo un archivo pcap que tiene paquetes. El problema es que no sé qué paquetes debo usar para construir sesiones cuando hay una retransmisión.
http://img412.imageshack.us/img412/4655/retransmission.png
Esto es lo que muestra Wireshark sobre esta sesión. ¿Qué paquetes debo usar para reconstruir la sesión? ¿Primeros paquetes o paquetes retransmitidos? ¿Cuáles de ellos tienen datos válidos?
No pude encontrar una manera de adjuntar el archivo pcap. Si lo desea, puedo cargar el archivo pcap en algún lugar. Lamento no poder publicar una imagen aquí porque no tengo suficiente reputación.
Respuesta1
No importa, todos deberían tener los mismos datos para las mismas posiciones de bytes. Si difieren, es arbitrario cuál es "correcto". (Y, en la práctica, eso nunca sucederá a menos que alguien esté abusando deliberadamente de TCP para crear un canal secundario o algo similar).