Wireshark / Tshark. TCP segment of a reassembled PDU

Ya vimos algunos mensajes informativos o de error de Wireshark tales como Error TCP Bad Cheksum, TCP fast retransmission,  TCP Dup ACK, etc. Ahora vamos a ver otro muy común: TCP segment of a reassembled PDU, información que a muchos induce a pensar que existe algún error en la red o conexión.

Wireshark TCP segment of a reassembled

Tenemos una captura cualquiera con algunas etiquetas de información del tipo TCP segment of a reassembled PDU, no sabemos a cuantos paquetes afecta esta información, error o lo que sea, así que aplicamos un Display Filter:

tcp.reassembled_in

Ya tenemos todos los paquetes afectados. Elegimos uno cualquiera para ver todos los datos del paquete:

Wireshark TCP segment of a reassembled PDU

Reseñado en rojo vemos Reassembled PDU in frame 19225, bien, vamos al frame o paquete 19225. quitemos el filtro anterior y buscamos el frame o aplicamos el filtro: tcp.segments:

pdu-4.png

Y vemos que se nos informa de que el frame 19255 es un paquete reensamblado formado por una lista de segmentos, entre ellos el que elegimos al principio.

¿ Y que significa esto. ?. Sencillamente que en el paquete 19225, Wireshark a concatenado una serie de segmento mostrando en el toda la información completa.

No se trata de ningún error.

Básicamente. En ocasiones los paquetes vienen “fragmentados” en unidades Protocol Data Units (PDU) y Wireshark los reensambla enun nivel más alto, en este caso, http.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , . Guarda el enlace permanente.

3 respuestas a Wireshark / Tshark. TCP segment of a reassembled PDU

  1. José Luis dijo:

    Hola Alfonn tu página es muy didáctica te felicito, y por ello te quiero hacer unas cuantas consultas:
    1. Cual es la diferencia entre estos mensajes, “Reassembled PDU in frame: 19225” y “Continuation or non-http traffic”.
    2. Cuando un cliente accede a una pagina de un servidor web definitivamente envia tramas HTML a este.
    He visto un caso donde se manda data html del cliente al servidor pero en 2 partes, la segunda con este mensaje en wireshark “Continuation or non-http traffic”. Queria hacer dos preguntas al respecto:
    – Esto se trata de una segmentacion TCP?
    – Como sabe el servidor en que momento ya debe empezar a procesar los segmentos html recibidos? El servidor sabe como identificar el ultimo segmento del cliente?.
    Gracias por tu atención.

  2. José dijo:

    Muchas gracias Alfon, te felicito por tu esfuerzo desinteresado

  3. Alfon dijo:

    Estimados José Luis y José. Prepararé un artículo para solventar vuestras dudas. Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s