在抓取https數(shù)據(jù)包的過(guò)程中井誉,發(fā)現(xiàn)有許多顯示為T(mén)CP? segment? of? a? reassembled? PDU,而且往往這些數(shù)據(jù)包后面都有一個(gè)TLS數(shù)據(jù)包
原因如下:
在握手階段怨绣,Server Hello和Server的Certificate是背靠背發(fā)送的角溃,也就是說(shuō)它們是連著發(fā)給Client的,一個(gè)Server
Hello篮撑,外加一個(gè)證書(shū)减细,一起發(fā)給Client,接下來(lái)就是不那么根本但很顯然的事情了赢笨,如果這些包的總和足夠小或者鏈路的MTU足夠大未蝌,能夠一次性發(fā)送過(guò)去的話,那當(dāng)然好茧妒,如果不能萧吠,很顯然要拆成幾個(gè)分段發(fā)送了,如果中間的那個(gè)分段不能被SSL協(xié)議的原語(yǔ)識(shí)別桐筏,那么就會(huì)被標(biāo)識(shí)成reassembled
PDU纸型,這就是為什么404,405號(hào)數(shù)據(jù)包都是連續(xù)發(fā)送的九昧,但是卻未被識(shí)別為reassembled
PDU绊袋,因?yàn)镾SL協(xié)議知道它們是Certificate消息和Server Key Exchange消息。
具體見(jiàn):http://blog.csdn.net/dog250/article/details/51809566