В Wireshark порядковые номера TCP отображаются как относительные порядковые номера по умолчанию. Как я могу получить фактический порядковый номер TCP?
2 ответа
8
Согласно официальной вики-странице Wireshark:
По умолчанию Wireshark и TShark будут отслеживать все сеансы TCP и преобразовывать все порядковые номера (номера SEQ) и номера подтверждения (номера ACK) в относительные числа. Это означает, что вместо отображения реальных / абсолютных номеров SEQ и ACK на дисплее Wireshark будет отображать номера SEQ и ACK относительно первого увиденного сегмента для этого разговора.
Но, как объяснено на той же странице, это можно настроить следующим образом:
Чтобы отключить относительные порядковые номера и вместо этого отобразить их как действительные абсолютные числа, перейдите в настройки TCP и снимите флажок для относительных порядковых номеров.
3
Если вам требуются конкретные указания о том, где именно найти параметр в Wireshark, как я это сделал, вы можете найти их по адресу:
Правка> Настройки> Протоколы> TCP
Снимите флажок « Относительные порядковые номера »
NB: я использую Wireshark 2 и не проверял, так ли это на других версиях Wireshark. (Скорее всего, это должно быть в том же месте).