이상한 와이어 샤크 동작 (TCP와 UDP 모두 표시된 단일 패킷)

Question

나는 this website에서 다운로드 큰 PCAP 파일이 있습니다. (당신은 download the original pcap file 수 : 368 개 매크로 블럭)

할 수도 download a short version that contains only some of the buggy packets.

이 파일 내부의 패킷 이상한 것이 있습니다. sFlow이라는 레이블이 붙은 1113 개의 패킷이 패킷에 적용되는 wireshark-filter와 관련이 없으므로 항상 윈도우에서 해당 패킷을 볼 수 있습니다 (

) 일부 스크린 샷 :

어떤 필터가 적용되지 :

필터 만 tcp 패킷을 볼 수 :

을 이러한 패킷 잘못 무엇 ip.addr == 68.64.21.64

로 패킷을 볼 수

필터 : udp 패킷 만 볼 수

필터?

Answer 1

이 패킷 sFlow 형이다. 이들은 네트워크 샘플링에 사용되므로 다른 네트워크 패킷 샘플을 포함합니다. 디스플레이 필터는 sFlow 패킷 자체뿐만 아니라 모든 내부 패킷에도 적용되는 것처럼 보입니다. 따라서 "tcp"디스플레이 필터는 TCP 샘플을 포함하고있는 sFlow 패킷 (분명히 udp)을 남겨 둡니다. 주소 필터링과 동일합니다. 필터 동작이 맞다면, 나뿐만 아니라 출력에 의해 즐겼다 사진

확실하지에 같이

당신은 내부 패킷을 검사 할 수 있습니다. 제 생각에는 개발자의 의견을 듣기 위해 Wireshark bug database 티켓을 여는 것이 좋을 것 같습니다. 그것이 있는지를 나타내는 IP 헤더의 단일 8 비트 필드가 있기 때문에