Les conversations TCP et les flux TCP doivent être au même niveau, mais, au moins dans certaines versions de Wireshark, ils utilisent un code différent pour identifier les paquets qui font partie de la conversation / du flux, afin de pouvoir donner des réponses différentes.
L’un d’eux peut, par exemple, traiter tout le trafic entre deux points de terminaison (paires adresse IP / port) comme faisant partie de la même conversation / du même flux, même si une connexion TCP entre ces deux points de terminaison est fermée et qu’une autre s’ouvre entre eux. les mêmes deux points de terminaison dans la même capture (peu probable, car les ports ne sont généralement pas réutilisés immédiatement, mais pas impossibles), tandis que l'autre peut reconnaître la fermeture de la connexion et l'afficher sous la forme de conversations / flux séparés.
S'ils n'utilisent pas le même code, c'est sans doute un bogue, mais il se peut que personne ne l'ait encore corrigé.
De toute évidence, les "conversations" IP , qui se situent entre deux points de terminaison IP (deux adresses IP), sont différentes des conversations / flux TCP; comme vous le constatez, il peut y avoir plusieurs conversations TCP, conversations UDP, etc. entre deux points de terminaison IP et donc plusieurs TCP / UDP / etc. conversations dans la même conversation IP.