请大家推荐重组tcp流的资料，谢谢！！

chunhui_true

进来想学学如何把一个一个的ip包重新组装成一条完整的tcp流。搜了点资料，不知道还有没有更好的。请大家推荐推荐，网上的资料也好，书也好。我知道linux代码里有，但是光看代码不是很容易明白。另外不知道有什么好的讲解linux网络部分的书？谢谢。谢谢，十分地谢谢！！！！

archangle

he Linux® Networking Architecture: Design and Implementation of Network Protocols in the Linux Kernel
By Klaus Wehrle, Frank Pählke, Hartmut Ritter, Daniel Müller, Marc Bechler
       
Publisher        : Prentice Hall
Pub Date        : August 01, 2004
ISBN        : 0-13-177720-3
Pages        : 648

sun1213

好的哈，我也学习下哟

独孤九贱

原帖由 chunhui_true 于 2005-12-31 16:52 发表
进来想学学如何把一个一个的ip包重新组装成一条完整的tcp流。搜了点资料，不知道还有没有更好的。请大家推荐推荐，网上的资料也好，书也好。我知道linux代码里有，但是光看代码不是很容易明白。另外不知道有什么好 ...

我最先学习重组的资料，是学习的snort中的frag2，用一个二级二叉树来重组，很简单的。现在升级到frag3了……

chunhui_true

多谢，那本书我有电子版的。到时候参考一下，但是这个snort的代码不知道复杂不复杂？有没有关于snort的代码的讲解资料？有的话，请各位给推荐一下，谢谢了。

albcamus

原帖由 chunhui_true 于 2006-1-4 09:31 发表
多谢，那本书我有电子版的。到时候参考一下，但是这个snort的代码不知道复杂不复杂？有没有关于snort的代码的讲解资料？有的话，请各位给推荐一下，谢谢了。

snort不是入侵监测的吗， 跟流重组有什么关系吗？能否讲解一下？谢谢

独孤九贱

原帖由 albcamus 于 2006-1-4 09:39 发表


snort不是入侵监测的吗， 跟流重组有什么关系吗？能否讲解一下？谢谢

sorry，早上起来没睡醒，说错了！
snort中流重组的是stream4插件，frag2/3是IP分片重组，在此纠正一下。

snort的stream4预处理模块可能记录整个TCP会话的包，把会话双方传输的传部内容重新构建成一个新数据包，然后对这个重组的包进行检测。