W analizie ruchu (np. w Wiresharku) kluczowe jest rozróżnienie nadawcy i odbiorcy konkretnego pakietu. Pytanie brzmi: "z którego host otrzymuje odpowiedź", czyli interesuje nas pakiet przychodzący do hosta. Źródłem odpowiedzi jest więc to, co w nagłówkach jest oznaczone jako Src (source).
W warstwie IP pole Src wskazuje adres IP nadawcy pakietu, a Dst adres IP odbiorcy. W warstwie TCP analogicznie: Src Port to port nadawcy, a Dst Port to port odbiorcy.
W typowej komunikacji klient–serwer HTTP klient (np. 192.168.0.13) łączy się z serwerem (np. 46.28.247.123) na porcie usługi 80. Klient nie używa portu 80 jako swojego portu źródłowego, tylko wybiera port efemeryczny (wysoki, losowy), np. 51383. Gdy serwer odpowiada, to w pakiecie odpowiedzi:
- źródłem (Src) jest serwer: 46.28.247.123,
- port źródłowy (Src Port) to port usługi: 80,
- celem (Dst) jest klient: 192.168.0.13,
- port docelowy (Dst Port) to port klienta: 51383.
Dlatego poprawna para to 46.28.247.123:80.
Dlaczego pozostałe odpowiedzi są błędne? Odpowiedź "46.28.247.123:51383" miesza adres serwera z portem należącym do klienta (to typowy skutek mylenia portu docelowego z portem źródłowym). "192.168.0.13:80" sugeruje, że klient używa portu usługi jako swojego portu, co w takim połączeniu nie jest typowe. "192.168.0.13:51383" wskazuje z kolei host i port odbiorcy (Dst), a pytanie wymaga źródła, z którego odpowiedź przyszła.
Wskazówka egzaminacyjna: zawsze ustal, czy analizujesz pakiet do hosta czy z hosta, a następnie odczytuj IP i port z tej samej strony nagłówka (Src dla źródła, Dst dla celu).
