A impureza do RedHat (e qualquer outro) do NFS v3 usará um identificador de arquivo na maioria das operações, em vez de um nome. Se você não vir a alça com o wireshark, continue expandindo partes do pacote até encontrá-lo. Alguns pacotes conterão um identificador para o objeto de destino e para seu diretório pai, portanto, examine-o com atenção. Em NFS CALLs, a linha "Info" de resumo da wireshark geralmente mostra um hash que é uma versão reduzida da alça. O problema é que sem "outras informações" ou acesso à máquina em questão (por exemplo, se você estiver analisando os pacotes de outra pessoa), o identificador de arquivo não é uma informação muito útil.
Você pode pesquisar os pacotes que vieram antes para o identificador ou seu hash e esperar encontrar um local onde o mesmo identificador de arquivo esteja presente de uma maneira que o associe a um nome de arquivo. Por exemplo, uma pesquisa resultará em uma resposta que contém o identificador do arquivo. Ou a resposta de uma operação de criação mostrará o identificador do objeto que acabou de ser criado. Ou se uma sequência "readdirplus" estiver presente e os pacotes não estiverem truncados, é provável que você possa obter as informações de lá.
É claro que, em muitos casos, o nfs mount está em uso há algum tempo, e a chamada original que fez com que o cliente "aprenda" o identificador que acompanha o nome pode ter desaparecido há muito tempo. Portanto, se você for capaz de controlar e planejar as etapas de reprodução do problema e coleta de pacotes, pode ser útil começar sem a montagem do nfs presente. Então inicie o tcpdump. Em seguida, execute a montagem. Então reproduza o problema do nfs. Dessa forma, você tem certeza de capturar pacotes que conectarão todos os identificadores de arquivos com nomes de arquivos.