在监视我的办公室networking的同时,我看到来自MAC地址制造商部分(三个最重要的八位字节)是00:FF:01设备的大量stream量我看不到客户端部分,但是这个前缀正在显示〜比任何其他制造商的设备多50%的stream量。
我一直无法find谁是这样的设备的制造商,或者是否是某种虚拟设备(所有的查询返回没有find该前缀制造商 )
我甚至不确定ServerFault是否是问这个问题的合适的地方,但我没有select。 有谁知道这是什么types的设备? 他们是虚拟设备吗?
先谢谢你。
编辑1:
运行WireShark我能够find这些东西之一的整个MAC: 00:FF:01:FF:02:FF (它真的看起来很奇怪的MAC地址)。 在最后30分钟左右,只有那个特定的MAC地址似乎在发送stream量。 我不知道是否所有的命中(我只能看到制造商的部分)是从同一个00:FF:01:FF:02:FF ,或者如果有可能的具有相同制造商00:FF:01其他设备,但现在不能传输。
我只是在猜测,但是最近我们也遇到了一些Wireshark不理解的奇怪数据包。 几天后,一个同事注意到,如果你删除了前16个字节,数据包就更有意义,看起来像IPv6 /以太网多播包。 (稍后在字节stream的某个地方看到33:33看起来很熟悉…)
在我们的例子中,苹果Thunderbolt显示器带有一个集成networking适配器,导致这些数据包。 看起来像他们的固件错误。 使用这16个字节,源MAC地址始终为00:02:01:00:00:00 ,目标MAC地址始终为00:00:00:00:b7:00 ,这两个字段看起来都不是随机的。
所以也许你想检查你的数据包是否更有意义,如果你从头开始删除几个字节。
如果没有的话:有没有机会捕获这些数据包中的某些数据包,例如以pcap格式?