黒いフィルタ

Wiresharkでは色付けルールとして

tcp.analysis.flags && !tcp.analysis.window_update && !tcp.analysis.keep_alive && !tcp.analysis.keep_alive_ack

という条件でBad TCPという扱いとなります。

が、最初の「tcp.analysis.flags」というのはパケットの中を見ているわけではなくWireshark側がパケットの並びで判断しています。

というわけで直近で同じIPアドレスのサーバから同じポートでつつきにくるととりあえず

[TCP Port numbers reused] 60999 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=84006682 TSecr=0 

なんてカテゴライズされますが、過去のセッションがきちんと終わっている場合は問題なくSYNからのコネクション確立まで進みます。

黒いフィルタ＝悪というわけではないこと、覚えておきたいですね。