Question

我正在尝试检查和分析我的网络流量。突然间我发现了令人困惑的事情。我原以为数据包会根据(SRC_IP, DES_IP, SRC_PORT, SRC_PORT , PROTOCOL_NUM)分成流。但现在我发现两组具有相同功能的数据包，但在Wireshark中被解释为两个不同的流：

如下所示，具有偶数数据包编号的RTP数据包是单个数据流，具有奇数数据包编号的RTP数据包是另一个数据流，而两者都等于(SRC_IP, DES_IP, SRC_PORT, SRC_PORT , PROTOCOL_NUM)。为什么呢？

比较统计数据：

它们被解释为两个不同的流：

Answer 1

您只是查看来自任一方向的UDP流量。 UDP流2来自192.168.1.162到192.168.1.159，UDP流3来自192.168.1.159到192.168.1.162。

虽然有两个UDP流，但只有一个RTP会话。这是因为RFC协议规定您不能在同一端口上进行多路复用。来自RTP RFC Section 5.2。

In RTP, multiplexing is provided by the destination transport address
(network address and port number) which is different for each RTP session.

所以，是的，有两个同步的UDP流，但它们只是两个主机在RTP会话期间相互通信。