TCP разговоры и TCP потоки должны быть на том же уровне, но, по крайней мере , в некоторых версиях Wireshark, они используют различные коды для определения того, какие пакеты являются частью разговора / потока, так что они могут дать разные ответы.
Один из них может, например, обрабатывать весь трафик между двумя конечными точками (пары IP-адрес / порт) как часть одного и того же разговора / потока, даже если одно TCP-соединение между этими двумя конечными точками закрывается, а другое открывается между те же две конечные точки в пределах одного и того же захвата (маловероятно, поскольку порты не имеют тенденцию к немедленному повторному использованию, но не невозможно), тогда как другой может распознать закрытие соединения и показать их как отдельные разговоры / потоки.
Если они не используют один и тот же код, это, возможно, ошибка, но это может быть ошибка, которую еще никто не исправил.
Очевидно, что "разговоры" по IP , которые находятся между двумя конечными точками IP (двумя IP-адресами), отличаются от разговоров / потоков TCP; как вы заметили, между двумя оконечными точками IP и, таким образом, несколькими TCP / UDP / и т. д. может быть несколько TCP-разговоров, UDP-разговоров и т. д. разговоры в том же IP-разговоре.