Как отличить tcp segment data от остальных данных в pcap пакете?

Question

kuzko @kuzko

C++

Как отличить tcp segment data от остальных данных в pcap пакете?

При написании программы на c++ для обработки pcap-пакета столкнулся с проблемой: в wireshark видно, что у пакета есть протокол маршрутизации, но также присутствует tcp segment data, который не подходит под критерии протокола маршрутизации.

Может кто-то знает, как можно отличить tcp segment data от bgp протокола, или хотя бы как узнать длину tcp segment data, и где он находится (т.к. иногда он идет до bgp протокола, а иногда после)?

Вопрос задан более трёх лет назад
156 просмотров

2 комментария

Подписаться 3 Простой 2 комментария

Помогут разобраться в теме Все курсы

Яндекс Практикум

Разработчик C++

9 месяцев

Далее
Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Компьютерная академия «TOP»

Учебная программа “Разработка программного обеспечения”

30 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 2

2 комментария

kuzko @kuzko Автор вопроса

Спасибо! Я понимал, что TCP segment - это часть BGP, но не додумался, что они просто друг за другом идут
А как, в таком случае, определить к какому пакету относиться фрагментированный протокол?

Написано более трёх лет назад
jcmvbkbc @jcmvbkbc

к какому пакету относиться фрагментированный протокол?

вопрос непонятен. Если ты спрашиваешь, как из сегментов TCP получить непрерывный поток данных, то в сегментах есть поле sequence number, определяющее, где в потоке находится текущий сегмент. При этом надо учитывать, что между сегментами могут быть дырки, сегменты могут повторяться и даже перекрываться. Короче, надо более-менее анализировать TCP. Кроме того, нет 100% гарантии, что сегменты TCP не будут фрагментироваться. Для большей корректности может потребоваться умение собирать фрагментированные IP-пакеты.

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

C++

Простой
Какой подход выбрать для представления Chunk?
- 1 подписчик
- 10 часов назад
- 104 просмотра
1

ответ
C++

+2 ещё

Простой
Как подключить SFML к Clion на MacOs?
- 1 подписчик
- 14 окт.
- 81 просмотр
1

ответ
C++

Средний
Как определить виртуальные методы в полной специализации шаблона?
- 1 подписчик
- 13 окт.
- 63 просмотра
1

ответ
C++

+1 ещё

Простой
Только начинаю изучать Qt, не знаю как убрать ошибки :-1: ошибка: collect2.exe: error: ld returned 1 exit status?
- 1 подписчик
- 12 окт.
- 107 просмотров
0

ответов
C++

Простой
Какую библиотеку использовать для отображения OHLC свечей в приложении на C++?
- 1 подписчик
- 11 окт.
- 84 просмотра
0

ответов
C++

Простой
Можно ли собрать curl с подпапкой для дополнений?
- 3 подписчика
- 09 окт.
- 103 просмотра
1

ответ
C++

+1 ещё

Простой
Как обезопасить секрет в памяти?
- 2 подписчика
- 04 окт.
- 291 просмотр
3

ответа
C++

+1 ещё

Простой
Какую библиотеку для excel c++ посоветуете?
- 3 подписчика
- 01 окт.
- 400 просмотров
1

ответ
C++

+1 ещё

Простой
Какие почитать книги, которые научат составлять алгоритмы?
- 4 подписчика
- 19 сент.
- 591 просмотр
3

ответа
Windows

+2 ещё

Простой
Почему запуск процесса через CreateProcess() может очень медленно выполняться?
- 1 подписчик
- 18 сент.
- 230 просмотров
1

ответ
Показать ещё Загружается…

Project manager / Resource manager

Regex SEO

от 1 500 до 3 000 $

Deep Learning Engineer (GigaChat Prod)

Сбер • Москва

от 350 000 ₽

Менеджер цифровых проектов

Российский Красный Крест • Москва

от 100 000 ₽

Каким образом вы разбираете pcap - формат?
Армянское Радио, с помощью библиотеки libcap

Answer 1 · 2020-04-30 11:57:06

как можно отличить tcp segment data от bgp протокола,

BGP передаётся внутри TCP соединения. Поэтому все данные проходящие по соединению -- это BGP. Но поскольку это TCP и данные передаются сегментами, размер которых не связан со структурой данных, в TCP сегментах могут быть как целые сообщения BGP, так и части. На картинке видны два сообщения BGP: одно целое, общей длиной 0xa1, с 0x17c по 0x21с, и начало следующего, общей длиной 0xa0, с 0x21d и до конца TCP-сегмента. В следующем TCP-сегменте, соответственно, будет продолжение этого сообщения.

как узнать длину

Посмотреть в определение протокола, увидеть поля marker и length, использовать их?

Answer 2 · 2020-05-01 06:20:01

Руслан @msHack

почитайте про файловые сигнатуры

Ответ написан более трёх лет назад

Комментировать

Как отличить tcp segment data от остальных данных в pcap пакете?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт