如何给pcap加上TCP三次握手的数据包

本文介绍一种给pcap数据包中的流添加三次握手的方法。

有些网络设备在留存数据包的时候，出于节省存储资源的考虑，对于三次握手的数据包没有留存，如下图1所示：

图1

这样多带来的问题就是，在使用这些数据包进行数据包导入验证的时候，由于没有三次握手，不同的设备在处理上会存在着差异。为了避免三次握手所带来分析的影响，最好的方法就是给这些数据包加上三次握手。

三次握手的数据包往往是空载荷的，但是MAC地址，IP地址，端口，标志位以及序列号等关键字段的填充是需要和第一个请求包进行对应的，示意图如图2所示：

图2

MAC地址
MAC地址是在局域网通信中使用到的地址，就该数据包而言，源MAC和其和上图1中HTTP请求包的源MAC相对应的，因此三次握中每个数据包的源MAC和目的MAC可以通过上图1第一个数据包的源和目的MAC进行确定。

IP地址
从流的层面来说，三次握手中的第一个包的源IP地址就是这条流通信的源IP地址，其和上图1中HTTP请求包的源IP是一致的&