我知道 Wireshark 的流索引是 Wireshark 的构造,而不是跨网络的实际帧中的字段。我也了解 TCP 流基于套接字对(ipA:portA 到 ipB:portB)。我对为什么 Wireshark 在套接字对没有改变时会改变流索引感到困惑。
这是 Cisco MDF 在两个主机设备之间的 TCP 3 次握手期间收到的前 3 个数据包的捕获:
第一个数据包 (#8896) 是 SYN。Stream index = 149. TTL = 63. 交换机必须调整 MSS,因此第二个数据包 (#8897) 是新的 SYN。但是,它的流索引 = 150。而 TTL =57(另一个问题:为什么它减少了 6?)
还有其他流(此处未显示)在 SYN 中更改 MSS 后,流索引不会更改