重组TCP流的一些问题

Question

我正在实现一个IPS系统，在观察wireshark重新组装TCP流的过程时我有点困惑。

例如，服务器向客户端传输HTML页面。页面分为4部分，并由TCP数据包封装。然后服务器将另外 4 个 TCP 数据包推送到客户端以获取 JavaScript 文本。

我的问题是，我知道我可以通过测量它们的 Seq 和 Len 来确定它们的序列，但是我如何确定 HTML 文本的结尾？我如何知道 HTML 包含 4 个 TCP 数据包而不是 5 个？

Answer 1

RFC 2616 第 4.4 节 规定消息长度可以是有多种方式给出：

• 通过 Content-Length 标头（如果已定义）。 （这可能就是您所看到的情况，并且相对简单。如果您知道正文开始的位置（seq+数据包内的偏移量）和消息长度，则只需添加即可获得结束位置。 ）
• 通过分块编码。 RFC 有详细信息，但它对每个块有类似的编码以及注释最终块的方法。
• multipart/byteranges（除非客户要求，否则您不会看到它，而且 HTML 文档可能不会）。
• 或者直到 TCP 连接关闭。 （特别是，直到 FIN 数据包从服务器发送到客户端，这仅发生在完全关闭时；否则您会看到 RST。）