在抓取https数据包的过程中,发现有许多显示为TCP segment of a reassembled PDU,而且往往这些数据包后面都有一个TLS数据包
原因如下:
在握手阶段,Server Hello和Server的Certificate是背靠背发送的,也就是说它们是连着发给Client的,一个Server
Hello,外加一个证书,一起发给Client,接下来就是不那么根本但很显然的事情了,如果这些包的总和足够小或者链路的MTU足够大,能够一次性发送过去的话,那当然好,如果不能,很显然要拆成几个分段发送了,如果中间的那个分段不能被SSL协议的原语识别,那么就会被标识成reassembled
PDU,这就是为什么404,405号数据包都是连续发送的,但是却未被识别为reassembled
PDU,因为SSL协议知道它们是Certificate消息和Server Key Exchange消息。
具体见:http://blog.csdn.net/dog250/article/details/51809566
