Я пытаюсь понять, как Wireshark знает, какой запрос соотносится с ответом - "Follow HTTP Flow".
Например, некоторые http-пакеты могут отправляться с пробелами других tcp-пакетов.
У некоторых есть ответы, которые разделены между несколькими пакетами tcp, и Wireshark должен понять, что они коррелированы.
Связано ли это с SEQ и ACK в TCP?
1 ответ
1
Связано ли это с SEQ и ACK в TCP?
Да, HTTP/2 и более ранние версии все используют TCP для отслеживания потока пакетов, и TCP использует для этого номера Seq и Ack, а также 4 набора (исходный IP-адрес, исходный порт, IP-адрес назначения, порт назначения).
HTTP/2 имеет дополнительные механизмы отслеживания потока в верхней части TCP (которых не было в HTTP 1.1 и более ранних версиях), поскольку HTTP/2 допускает несколько одновременных транзакций HTTP в одном TCP-потоке.
HTTP/3 (новое имя для QUIC) - это другая история, потому что он основан на UDP. Но я полагаю, что он использует TCP-подобный механизм Seq/Ack, чтобы держать вещи прямо.