wireshark

Para ver una vista general de la captura:

Aqui hemos filtrado por los paqquetes del ping

Si nos vamos a edit>preferences podemos modifical las columnas

Edit>> preferences>> columns (para editar columnas)

Ip.addr == ip que sea (el source y el destination tienen esa ip)

Ip.src == (para filtrar por source)

Ip.dst == (para filtrar por destino)

Ip.src == ip and icmp

Al haber un rst quiere decir que el nmap le ha respondido tras el syn-ack

Aquí se veria modo pro ya que filtro solo por los que le hayan respondido con RESET.

Y otra forma de encontrarlo

Es que haya tenido un syn y un ack y que además la ip src sea distinta a la ip del atacante.

Vemos en el ethernet II que la 10.42.42.25 es la que en l mac tiene Apple

Para saber el Windows:

El que tiene el ttl tiene 128 por lo que es windows