网络数据包捕获的参考资料
http://libpal.sourceforge.net/
http://www.tamirgal.com/blog/page/SharpPcap-tutorial-a-step-by-step-guide-to-using-SharpPcap.aspxhttp://www.codeproject.com/Articles/20501/TCP-Session-Reconstruction-Tool
tcp packet assembly library
包重组 http://stackoverflow.com/questions/9609293/what-is-wireshark-and-winpcap
http://www.secdev.org/projects/scapy/demo.html
http://code.google.com/p/libcrafter/
里面要重组IP分片,TCP分片.
但做的时候忽视了一个很重要的东西:IP分片与TCP分片弄混淆了.
首先声明:TCP分片应该称为TCP分段.
——————————————————————————————————————————————————————
区别:
1.IP分片产生的原因是网络层的MTU;TCP分段产生原因是MSS.
2.IP分片由网络层完成,也在网络层进行重组;TCP分段是在传输层完成,并在传输层进行重组. //透明性
3.对于以太网,MSS为1460字节,而MUT往往会大于MSS.
故采用TCP协议进行数据传输,是不会造成IP分片的。若数据过大,只会在传输层进行数据分段,到了IP层就不用分片。
而我们常提到的IP分片是由于UDP传输协议造成的,因为UDP传输协议并未限定传输数据报的大小。
http://www.cnblogs.com/moonflow/archive/2012/04/06/2434812.htmllibnids-1.21 中 IP 分片重组分析 之数据结构与处理流程
http://blog.csdn.net/sandrain_zeq/article/category/202810
http://blog.csdn.net/sandrain_zeq/article/details/1651258
libnids中TCP/IP栈实现细节分析(上)——TCP会话重组
http://blog.dccmx.com/2011/03/libnids-tcp-reassembly/
http://blog.dccmx.com/2011/03/ip-defragment/
http://4sysops.com/archives/free-packet-sniffers-for-windows/
