В Wireshark есть такая функция, которая называется "отслеживание потока tcp" в пункте меню "Анализ".
Когда я его использую, создается фильтр захвата экрана, что-то вроде:
tcp.stream экв. 1
Откуда берется этот индекс?
Я не могу найти ни одного поля в пакете, который его содержит...
индекс потока — это внутреннее сопоставление Wireshark с: [IP-адрес A, TCP-порт A, IP-адрес B, TCP-порт B]
Все пакеты с одним и тем же значением tcp.stream должны иметь одинаковые значения этих полей (хотя src/dest будет переключаться для пакетов A->B и B->A)
см. вкладку Статистика/Беседы/TCP в Wireshark, чтобы показать сводку этих потоков
Потоковые индексы являются внутренними для Wireshark. Он просто использует номер для уникальной идентификации потока TCP.
