Abhängigkeit zwischen 2 Paketen mit Wireshark, ack, syn

[porki 11]

Hallo,

ich versuche mit Wireshark TCP Packete zu analysieren. Ich habe eine Übungsdatei dafür bekommen die ich ins Programm reinlade.

Wireshark zeigt 2 PCs an. PC1 sendet mehrere SYN zu PC2.

Manchmal antwortet PC2 auf das SYN mit SYN ACK.

Wenn ich nach dem Flagmuster SYN ACK suche, möchte ich auch das Paket finden das mit der SYN Abfrage dazu gestartet hat.

Natürlich liefert mir auch Wireshark das Frame indem er mir die Zeilennummer mitteilt. Aber wie hat Wireshark den zugehörigen SYN Paket zu dem andern Paket gefunden, also die Abhängigkeit?

Klar wird die SEQ mit der Antwort erhöht und der Wert steht dann im ACK, aber sie wird nur dann erhöht wenn PC2 antwortet. Deshalb habe ich auch mehrere Pakete mit der gleiche SEQ.

Wo gibt es die Abhängigkeit?

Eine Abhängigkeit wäre Source Port und Destination Port mit Kombination von SEQ und ACK, ich kann mir eigentlich nicht vorstellen dass Wireshark aus dem Grund die Abhängigkeit findet, das wäre doch viel Arbeit. Gibt es noch eine andere Abhängigkeit? Vieleicht im IP Header oder TCP Header usw.?