Wireshark 提示和技巧 | TCP Reassembly

1. TCP Reassembly

• Wireshark 支持跨越多个 TCP Segment 重组 PDU
• TCP Segment，基于 TCP 之上的协议大包因为 MTU、MSS 等引起的 TCP 分段
• PDU(Protocol Data Unit)，通俗的叫做 “packet”
• TCP Reassembly 只有在捕捉到完整数据包且对包的所有校验和有效的情况下工作

2. Preferences 协议首选项

TCP

Allow subdissector to reassemble TCP streams

注：仅仅开启 TCP 这个选项不够，还需要同样开启协议特定重组选项，如 HTTP、DNS 等协议。

HTTP

• Reassemble HTTP headers spanning multiple TCP segments Reassemble
• HTTP bodies spanning multiple TCP segments Reassemble chunked
• transfe-coded bodies

DNS

• Reassemble DNS messages spanning multiple TCP segments

SSH

• Reassemble SSH buffers spanning multiple TCP segments

3. SSH实例

TCP + SSH 选项双开

6，8-11 帧（5个重组 TCP Segments ），6，8-10 帧显示 TCP segment of a reassembled PDU ，11 帧会显示重组 TCP 的汇总信息

SSH 选项单开

6，8-11 帧，显示 Unreassembled packet ，TCP 不允许解析器重组 TCP 流

TCP 选项单开

6，8-11 帧，显示 Malformed Packet ，TCP 上层协议 SSH 未开启重组信息识别

参考 Wireshark WiKi :
https://wiki.wireshark.org/TCP_Reassembly

---

感谢阅读，更多技术文章可关注个人公众号：Echo Reply ，谢谢。