Wireshark中序列号（原始）的含义

Posted 2023-03-23

【中文标题】Wireshark中序列号（原始）的含义

【英文标题】：Meaning ofsequence number (raw) in wireshark

【发布时间】：2021-12-29 09:27:29

【问题描述】：

当我捕获第一个 SYN 包时，我对 Wireshark 中“序列号（原始）”的含义感到困惑。 “序号（相对）”和“序号（原始）”有什么区别？

printscreen in wireshark

【参考方案1】：

原始序列号是分配给数据包的实际值。

WireShark 对 TCP 会话进行分组，并为它们分配从 0 开始的相对序列（和确认）编号（对于每个后续数据包，似乎都增加 1），以便用户可以识别事件的顺序。

根据the corresponding wiki page：

默认情况下，Wireshark 和 TShark 将跟踪所有 TCP 会话并将所有序列号（SEQ 编号）和确认编号（ACK 编号）转换为相对编号。这意味着，Wireshark 不会在显示屏中显示真实/绝对的 SEQ 和 ACK 编号，而是显示与该对话的第一个看到的片段相关的 SEQ 和 ACK 编号。

该 wiki 页面还包含有关如何启用/禁用此功能的说明。

要访问该 wiki 页面，您可以按照以下路径进行操作：

WireShark home wiki page -> Use WireShark / TShark -> Preferences -> 协议 -> TCP -> TCP_Relative_Sequence_Numbers。 WireShark 主页 -> References -> PortReference: TCP -> Transmission Control Protocol -> Preference Settings -> TCP_Relative_Sequence_Numbers 和 TCP 窗口缩放。

另见：

How can I get the actual TCP sequence number in Wireshark? TCP: How are the seq / ack numbers generated?（这让我找到了 TCP 的 RFC 793, page 27）。

【讨论】：

感谢您的回答。现在我知道区别了。此外，这个包是 SYN 包，我想知道这个真实/绝对 SEQ 是否会是作为 [TCP：seq / ack 数字是如何生成的？ ](***.com/questions/692880/…) 描述了吗？

没问题！据我所知，设置了SYN 标志的数据包用于启动 TCP 连接。这意味着您的图像的原始序列号也是初始序列号（简称 ISN）。