Цитата:
Сообщение от LordJZ
|
это же raw трафик, туда ничего не пишется. Все так как пришло на сокет. В pkt файле там нули пишу
Добавлено через 2 минуты
Цитата:
Сообщение от RomanRom2
это сегодня. завтра поменяются опкоды (значения). послезавтра поменяются пакеты (порядок).
это всё build depended. нужно что бы так не было. не знаю, класть какой нибудь опкод FFFF к примеру, или нули. ну какой то маркер надо, если вам так принципиально все сессии класть в один файл.
|
я ж говорил, что в своем raw снифере вставлял в выходной файл пустые чанки - это был признак закрытия соединения. А новое соединение отлавливается легко по строке ip : port - socket handle(которая пишется в поле optional data у каждого чанка), если в текущей коллекции активных сокетов нет такой строки, то значит открылось новое соединение.
Вполне себе универсальное решение -)