O pacote 5 tem, começando em um deslocamento de hex 0036:
b4 99 ba 3d 49 00 00 17 54 01 63 b2 08 00 45
que se parece com o início de um pacote Ethernet para b4: 99: ba: 3d: 49: 00 de 00: 17: 54: 01: 63: b2, com um campo de tipo 0x0800 que significa IPv4 e, em seguida, o primeiro byte de um pacote IPv4 sem opções.
Se tratarmos isso como um cabeçalho IPv4:
45 00 01 52 d7 d7 40 00 40 06 13 2f c0 a8 00 09 45 1f 48 cf
isso é:
- 45 - cabeçalho IPv4 de 20 bytes
- 00 - tipo de serviço (00 provavelmente significa "pacote chato comum")
- 01 52 - comprimento total (338 bytes)
- d7 d7 - identificação
- 40 00 - sinalizadores + deslocamento de fragmento; flags = Não Fragmentar, deslocamento do fragmento = 0
- 40 - Tempo de vida
- 06 - protocolo (TCP)
- 13 2f - soma de verificação
- c0 a8 00 09 - endereço de origem (192.168.0.9)
- 45 1f 48 cf - endereço de destino (69.31.72.207)
Eu não sei se isso indica de onde o pacote veio ou não, e eu não sei o que o encapsulamento está sendo usado aqui (ou seja, o que todas as coisas antes do cabeçalho IPv4 são ). Pode haver um cabeçalho que não seja um cabeçalho Ethernet, mas que tenha um campo de tipo Ethernet no final.