Ich hatte ein ähnliches Problem, und es stellte sich heraus, dass es mit der Weiterleitung von Paketen zusammenhängt. Ich musste die Weiterleitung auf dem SNIFFER-Knoten mit einem solchen Befehl deaktivieren (oder zumindest einschränken):
sudo sysctl net.ipv4.ip_forward=0 Wenn die Weiterleitung aktiviert ist, werden gespiegelte Pakete vom SNIFFER-Knoten zurück weitergeleitet. Dies erklärt, warum sie in den erfassten Paketen mehrmals vorkommen.
Hoffe, das wird dein Problem lösen.