您使用 ICMP ping 的设备可能与回复您的 SYN 数据包的设备不同。在公司网络中发生这种情况时，通常有两种情况：

1. 您有一个透明的 HTTP 代理/IPS 设备，它会回复您的 TCP 80 数据包，但会通过 ICMP 数据包。
2. 您有一个 WAN 加速器，可以回复您的 SYN 数据包，但会传递 ICMP 数据包。

这两种行为都可以通过查看返回数据包的 TTL 值来确认。通常，从实际设备返回的 ICMP 数据包的 TTL 远低于您从代理/IPS/WAN 加速器获得的回复。

这是由于数据包捕获的位置。

主机A --------C- 主机B

如果您在 C 点捕获来自主机 A 的初始 Syn 将在大部分时间过去后被看到，并且 Syn/Ack 将立即被看到。您确实看到了 Ack 的增加，这是预期的。