多谢 Godbach指点。 还有点小问题

故哈

原帖由 Godbach 于 2009-8-18 16:24 发表


这个地方是不是显示的问题，即网络字节序和主机字节序的问题。

你把值贴出来看看

ntohl old tcph->ack_seq=4179092007
ntohl old tcph->seq=1997420798

ntohl tcph->ack_seq=1997423833
ntohl tcph->seq=4179092007

%U打印

Godbach

看看十六进制是多少啊

Godbach

用十六进制打印收到报文的seq和ack_seq, 以及构造的seq和ack_seq
并且打印出收到报文载荷的长度，和新构造报文载荷的长度

故哈

原帖由 Godbach 于 2009-8-18 16:31 发表
用十六进制打印收到报文的seq和ack_seq, 以及构造的seq和ack_seq
并且打印出收到报文载荷的长度，和新构造报文载荷的长度

old tcp_datalen 3035
old tcp_totlen 3055
old tcph->ack_seq=f2026212
old tcph->seq=fb686a5d
tcph->ack_seq=d6746a5d
tcph->seq=f2026212
new tcp_datalen 55256
new tcp_totlen 55276

感觉新包有问题

length是十进制

瀚海书香

多谢

platinum

原帖由 故哈 于 2009-8-18 16:27 发表



%U打印

真正的 seq 和 ack 就是一个乱七八糟的数
wireshark 里看到的数实际上是与第一个 syn 的差值

如果想得到真正的序号，你需要把 syn 时候的数值记录下来，之后的序号去减这个 syn 的值就可以了

故哈

原帖由 platinum 于 2009-8-18 16:41 发表

真正的 seq 和 ack 就是一个乱七八糟的数
wireshark 里看到的数实际上是与第一个 syn 的差值

如果想得到真正的序号，你需要把 syn 时候的数值记录下来，之后的序号去减这个 syn 的值就可以了

这样的话 如果我想要知道正确的值的话 就只能在握手的时候就记录每一条连接的seq值？

这样岂不是涉及到连接跟踪了？

god版主 也是这么做的么？

[ 本帖最后由 故哈 于 2009-8-18 16:47 编辑 ]

Godbach

old tcp_datalen 3035
new tcp_datalen 55256

新的报文这么大啊，不对吧，MTU在以太网上也就1500啊，有分片了吗？

故哈

原帖由 Godbach 于 2009-8-18 16:47 发表
old tcp_datalen 3035
new tcp_datalen 55256

新的报文这么大啊，不对吧，MTU在以太网上也就1500啊，有分片了吗？

我在对端接收的包是没有分片的

我是在新包发送之前取的值

tcp_totlen = iph->tot_len - iph->ihl*4;
        tcp_datalen = tcp_totlen -  tcph->doff*4;
        printk("new tcp_datalen %d\n", tcp_datalen);
        printk("new tcp_totlen %d\n", tcp_totlen);
        ret=dev_queue_xmit(skb);
        if(ret==-1){
                printk("send error\n");
        }

Godbach

原帖由 故哈 于 2009-8-18 16:45 发表


这样的话 如果我想要知道正确的值的话 就只能在握手的时候就记录每一条连接的seq值？

这样岂不是涉及到连接跟踪了？

god版主 也是这么做的么？

你这里只是发送一次，你从skb中获取到的就是绝对值。这个应该没有问题，不用记录的。