Para ser claros, una captura de paquetes no le dirá nada acerca de una carga maliciosa. Supongo que si trabaja con suficiente malware, puede ver un patrón para un código de byte de malware en particular, pero probablemente no.
El análisis de red se debe realizar en base a una línea de base. Ahí es cuando las banderas rojas son aparentes. Si nunca antes has hecho una línea de base, es difícil saber qué es normal y qué vale la pena investigar.
Retransmisión no esencial
Este blog da un buen resumen, y como no necesito volver a hacerlo -escriba la definición, desde el blog:
Básicamente, “Retransmisión no esencial” significa que los datos se enviaron nuevamente
que el receptor ya había reconocido, que es algo que nosotros
se utiliza para llamar "retransmisión innecesaria" en nuestro propio sistema experto.
En este punto, esta pregunta no es realmente para la seguridad de la información. Es casi imposible para alguien que esté aquí darle una respuesta de seguridad sobre un sistema que no puede analizar directamente.
Dicho esto, le sugeriría que le diera una cita para intentar averiguar qué está causando la retransmisión falsa, en lugar de pensar que es otra cosa.
Aquí hay un enlace de referencia para preguntar que puede ser de uso Movería esto a la comunidad de networking o wireshark.