tcpdumpの出力からクライアントとサーバ間でやり取りされるデータの種類を決定する方法

Question

私はtcpdumpを使ってクライアントとサーバの間でProjektとスニッフィングパッケージ交換を行っています。私は、tcpdumpの出力を解釈/解釈するのに少し問題があります。意味のある情報をオンラインで見つけることができないようです。これは私が持っているものです。

これは、パッケージをスニッフィングして16進数とasciiで読み取った後に行いました。

tcpdump -nnvvv -XX -i any -r vcs_tcp_noimg.pcap 

私はこの

The Server is running on port 6126 and Client port 45852 

は、私は1つは、常に彼のNullバイトwitht始めている赤でマークされたことを知っていたし、その後E..N - >は、ネットワークIPなどがあります。 青色は実際のメッセージ/ペイロードです。最初の2は私が読むことができないので、タイプはdata exchange is Byteと結論づけました。しかし、3 marked Blue、私はパラメータ/フィールドユーザーと名前を見ることができます。私はデータタイプがTextだと私は結論したので、テキストです。

この場合、サーバーとクライアント間で交換されるペイロード/データのタイプは、mixture of text and Bytesであると判断できますか？

私の好奇心を証明するために、私はtcpdumpフォーマットをASCIIテキストの-Aに変更しました。

tcpdump -nnvvv -A -i any -r vcs_tcp_noimg.pcap 

理由：私は-Aを行い、ASCIIテキストとしてすべてのペイロードを取得する場合、データが読めない場合は、その後、私は、そのデータ交換タイプがテキストであると結論することができるので、それから私は、データ型が Byte

であると言うことができます

私はマークこの 読み取りを得た - >はっきり読めない ブルーはマーク - >明らかに

をreadbaleそして私の驚きに、私はこのを得ましたレッドマーク - >読み取り不可能なので - >バイト ブルーマーク - >読み取り、さらにはリンクがあります。

だから私の質問です。 1.クライアントとサーバーの間のデータ交換の種類を決定するにはどうすればよいですか？ 2.私の研究から、バイトとASCIIテキストが混在していると結論づけることができますか？

最後に[F]と[F]の違いは何ですか？ 私は[[]が承認と[F] FINであることを知っています。これは[F] FIN ACKである可能性があります。これは通信が終了したことを意味しますか？

ありがとうございます。

Answer 1

TCP/IP通信のプライマから本当に恩恵を受けることができます。プロトコルの仕組みとヘッダーの解析方法を完全に説明しているRFCドキュメント（たとえば793）を見てください。

TCPによる通信は、クライアントからサーバーへのSYN、クライアントからサーバーへのSYN ACK、クライアントからサーバーへの最終的なACKであるRFCによって、3方向ハンドシェイクで始まります。これにより、IPポートペア上で2​​つの半二重接続が開きます。

RFCは、正常に通信を終了するために、4つの方法で終了します。接続の一方の側はFIN ACKで始まります。各側は常にストリーム内の現在の位置を確認しているからです。相手側はこれに応答して、クローズを確認するACKを返す。その側は実際にデータを送信し続けることができますが、FIN ACKを送信した側はすでにそのチャネルを閉じているため、この時点ではACKだけが発生します。最後に（実際には、FIN ACKの後に通常は追加のデータは戻されません）、接続のもう一方の側は同じパターンで閉じます。FIN ACK：適切な応答がACKです。