找到具有相同负载的 TCP 数据包的概率？

Question

今天早些时候，我与一位开发人员进行了讨论，重新识别具有相同负载的特定接口上发出的 TCP 数据包。 他告诉我，由于 TCP 数据包在系统级别的构造方式，找到具有相同有效负载的 TCP 数据包（即使相同的数据多次发送）的概率非常低。 我知道这可能是由于系统的 MTU 设置（通常为 1500 字节）等原因造成的，但我真正关注的是哪种概率统计数据？ 是否有任何特定协议可以更轻松地识别匹配的有效负载？

Answer 1

编辑：抱歉，我最初的想法很荒谬。

你引起了我的兴趣，所以我用谷歌搜索了一下，发现了这个。 如果您想编写自己的工具，您可能必须检查每个有效负载，最简单的方法可能是某种哈希/校验和来检查相同的有效负载。 只需确保您检查的是有效负载，而不是整个数据包。

至于统计数据，我将不得不听从对 TCP 工作原理有更深入了解的人。

Answer 2

发送相同的有效负载可能相当常见（特别是如果您正在运行某种网络服务）。 如果您的意思是发送相同的 tcp 段（标头和全部）或整个网络数据包（ip 和 up），那么概率会大大降低。

Answer 3

克里斯是对的。 更具体地说，数据包头中的两到三条信息应该不同：

• 序列号（即
  旨在不可预测）
  是随着数量的增加而增加的
  发送和接收的字节数。
• 时间戳，包含两个字段
  时间戳（尽管该字段是可选的）。
• 校验和，因为有效负载和标头都经过校验和，包括更改的序列号。

Answer 4

定义有效负载唯一性的是在 tcp 上运行的协议，而不是 tcp 协议本身。

例如，您可能天真地认为在请求服务器主页时 HTTP 请求都是相同的，但引用者和用户代理字符串使有效负载不同。

类似地，如果响应是动态生成的，则它可能具有日期标头：

Date: Fri, 12 Sep 2008 10:44:27 GMT

因此，这将使响应有效负载不同。 然而，如果内容是静态的，后续的有效负载可能是相同的。

请记住，由于序列号不同，实际的数据包会有所不同，序列号应该是递增的和伪随机的。