Es ist wahrscheinlich, dass dies zwei Anforderungen in derselben Verbindung sind, weil:
- Die Endpunkte der Verbindung, dh Quellport, Quell-IP, Zielport und Ziel-IP für beide Anforderungen sind identisch. Normalerweise ist der Quellport flüchtig und wird nicht schnell für eine andere Verbindung wiederverwendet.
- Die erste Anforderung hat eine (relative) Startsequenz von 1 mit einer Länge von 9, und die zweite scheint mit einer Startsequenz von 10 unmittelbar darauf zu folgen.
- Die angegebenen Timing-Informationen legen nahe, dass diese Anforderungen nahe beieinander liegen.
Es ist jedoch unmöglich, diesbezüglich eindeutig zu sein, ohne mehr Teile der Verbindung zu sehen, dh herauszufinden, ob ein Verbindungsabbau (FIN) und ein Setup (SYN) für dieselben Endpunkte zwischen den Anforderungen vorhanden waren.
Wenn es sich tatsächlich um zwei Anforderungen innerhalb derselben Verbindung handelt, handelt es sich um sehr merkwürdige HTTP-Clients und -Server oder um überhaupt kein (richtiges) HTTP. Wenn HTTP als von Wireshark analysiert betrachtet wird, führt der Client eine HTTP-0,9-Anforderung aus (einzelne Zeile in der Anforderung, dh kein vollständiger HTTP / 1.x-Header), was anfangs ungewöhnlich ist (veraltet seit Ewigkeiten). Zusätzlich würde der Server trotz der HTTP-0,9-Anforderung HTTP-Keep-Alive (dh mehrere HTTP-Anforderungen innerhalb einer einzelnen TCP-Verbindung) ausführen, obwohl HTTP-Keep-Alive nur seit HTTP 1.0 mit einem expliziten Connection: keep-alive
Header in der Anforderung oder seit HTTP 1.1 implizit definiert ist.