Пакет фрагментирован, но стоит флаг «Не фрагментировать».

Первый пакет:

00 80 f4 09 e6 a5 — адрес назначения Ethernet

00 50 56 26 ab 04 - Адрес источника Ethernet

08 00 - тип Ethernet, то есть IPv4

45 - версия IP (4, для IPv4) и длина заголовка (5, для 5*4 = 20 байт)

00 - DSCP/ECN (или TOS, в старые времена)

02 40 - общая длина (576 байт)

74 и далее - идентификация

40 00 - флаги и смещение фрагмента; DF и смещение фрагмента 0

80 - время жить

06 - протокол, то есть TCP

Когда вы говорите «Wireshark собирает эти пакеты», вы имеете в виду сборку IP или сборку TCP? Это происходит на разных уровнях, и я подозреваю, что Wireshark повторно собирает весь или часть сегмента TCP в первом пакете и сегмент TCP во втором пакете, чтобы создать пакет для протокола, работающего поверх< /em> TCP; TCP — это протокол потока байтов, поэтому нет гарантии, что границы сегментов TCP (которые почти во всех случаях превращаются в границы кадров канального уровня) соответствуют границам пакетов для протоколов, работающих поверх TCP.