Я понимаю, что индекс потока Wireshark - это конструкция Wireshark, а не поле в реальном кадре, пересекающем сеть. Я также понимаю, что потоки TCP основаны на паре сокетов (от ipA: portA до ipB: portB). Меня смущает, почему Wireshark изменяет индекс потока, когда пара сокетов не изменилась.
Это захват первых 3 пакетов, полученных MDF Cisco во время трехстороннего рукопожатия TCP между два хост-устройства:
1-й пакет (# 8896) - это SYN. Индекс потока = 149. TTL = 63. Коммутатор должен настроить MSS, и поэтому второй пакет (# 8897) является новым SYN. Однако это индекс потока = 150. И TTL = 57 (отдельный вопрос: почему он уменьшился на 6?)
Существуют другие потоки (здесь не показаны), где после изменения MSS в SYN, индекс потока не изменяется