Follow tcp stream - откуда берется поле «Индекс потока»?

Question

В Wireshark есть функция, которая называется «Follow tcp stream» , под пунктом меню «Анализ» .

Когда я ее использую, фильтр снимка экранагенерируется что-то вроде:

tcp.stream eq 1

Откуда взялся этот индекс?

Я не могу найти ни одного поля впакет, содержащий его ...

Answer 1

индекс потока является внутренним сопоставлением Wireshark: [IP-адрес A, TCP-порт A, IP-адрес B, TCP-порт B]

Все пакеты для одного и того же значения tcp.stream должны иметь одинаковые значения для этих полей (хотя src / dest будет переключаться для пакетов A-> B и B-> A)

см. Вкладку Статистика / Беседы / TCP в Wireshark, чтобы показать сводку этих потоков

Answer 2

Потоковые индексы являются внутренними Wireshark. Он просто использует число для уникальной идентификации потока TCP.