Как отличить tcp segment data от остальных данных в pcap пакете?

Question

[kuzko]

При написании программы на c++ для обработки pcap-пакета столкнулся с проблемой: в wireshark видно, что у пакета есть протокол маршрутизации, но также присутствует tcp segment data, который не подходит под критерии протокола маршрутизации.

Может кто-то знает, как можно отличить tcp segment data от bgp протокола, или хотя бы как узнать длину tcp segment data, и где он находится (т.к. иногда он идет до bgp протокола, а иногда после)?

Comments

[Армянское Радио]

Каким образом вы разбираете pcap - формат?

[kuzko]

Армянское Радио, с помощью библиотеки libcap

Answer 1

[jcmvbkbc]

как можно отличить tcp segment data от bgp протокола,

BGP передаётся внутри TCP соединения. Поэтому все данные проходящие по соединению -- это BGP. Но поскольку это TCP и данные передаются сегментами, размер которых не связан со структурой данных, в TCP сегментах могут быть как целые сообщения BGP, так и части. На картинке видны два сообщения BGP: одно целое, общей длиной 0xa1, с 0x17c по 0x21с, и начало следующего, общей длиной 0xa0, с 0x21d и до конца TCP-сегмента. В следующем TCP-сегменте, соответственно, будет продолжение этого сообщения.

как узнать длину

Посмотреть в определение протокола, увидеть поля marker и length, использовать их?

Comments

[kuzko]

Спасибо! Я понимал, что TCP segment - это часть BGP, но не додумался, что они просто друг за другом идут
А как, в таком случае, определить к какому пакету относиться фрагментированный протокол?

[jcmvbkbc]

к какому пакету относиться фрагментированный протокол?

вопрос непонятен. Если ты спрашиваешь, как из сегментов TCP получить непрерывный поток данных, то в сегментах есть поле sequence number, определяющее, где в потоке находится текущий сегмент. При этом надо учитывать, что между сегментами могут быть дырки, сегменты могут повторяться и даже перекрываться. Короче, надо более-менее анализировать TCP. Кроме того, нет 100% гарантии, что сегменты TCP не будут фрагментироваться. Для большей корректности может потребоваться умение собирать фрагментированные IP-пакеты.

Answer 2

[Руслан]

почитайте про файловые сигнатуры