奇怪的Wireshark行为（单个数据包同时标记为TCP和UDP）

Question

我从this website下载了一个大的PCAP文件。 （您可以download the original pcap file：368 MB）

您也可以download a short version that contains only some of the buggy packets。

这个文件里面有些包有些奇怪。有1113个数据包在里面标记为sFlow，它并不重要你应用于数据包的wireshark过滤器，你总是会看到它们（或其中的一部分）在窗口中：

要更清楚让我们看看一些屏幕截图：

无过滤器适用于：

过滤器只看到tcp包：

过滤器只看到udp包：

过滤器，看看报文ip.addr == 68.64.21.64

有什么不对这些数据包？

Answer 1

这些数据包是sFlow类型。它们用于网络采样，因此它们包含其他网络数据包的样本。显示过滤器似乎不仅适用于sFlow数据包本身，而且适用于每个内部数据包。因此，“tcp”显示过滤器会留下那些包含tcp示例的sFlow数据包（它们显然是udp）。地址过滤也一样。

上的画面

不知道如果过滤器的行为是正确的，我被逗乐输出以及显示您可以检查内部分组。我认为，开放门票Wireshark bug database听开发商的意见会很好。