networking充斥着看似空的数据包

首先，即使仅使用快速以太网，帧的数量和数据量也不会对networking连接产生显着的影响 – 500个500字节的帧数less于2.5 MB /秒的数据量。 他们可能会在您的交换机上触发广播风暴检测机制，导致广播帧丢弃合法的stream量 – 特别是ARP请求 – 这可能会对IP连接带来不利影响（尽pipe通常不会完全中断，但您可能会看到由于不合时宜的ARPparsing度）。

你提交的捕获中的LLC帧看起来很奇怪。 源地址和多播目的地址都不是有效的真实世界地址。 此外，有限责任公司的帧格式违反了标准 – 空地址与UI框架types一起使用 – 永远不会发生：

空地址仅适用于XID和TEST PDU的地址字段。 在ISO / IEC 8802-2中规定了空地址（DSAP和SSAP）的使用。

（来源： IEEE LLC教程 ）

我怀疑有些设备（大概不是施乐公司，尽pipe源地址parsing为Xerox的MAC地址空间 – 我希望他们知道并遵守基本规则）违反了协议。 尝试通过查看您pipe理的交换机的FDB /地址表来寻找它：从任意一个pipe理型交换机开始，在表中find00:00:03:20:00:00地址，该地址可能与上行端口相关联另一个交换机，跟随下一个交换机重复该过程，除非find与边缘端口（即，具有单个连接的主机的端口）相关联的地址。

当我看看hexdump时，我注意到它只是四个字节重复的同一个序列。 四个字节的序列不是有效的数据，试图解码它将不会产生任何有用的信息。

该重复序列包括源MAC地址和目标MAC地址以及以太网types。 这意味着源MAC地址和目标MAC地址都不是意味着什么，它们已经被损坏。 这也不是一个有限责任公司的框架，只是这个字节序列被解码为LLC。

如果您再次看到类似的情况，我会首先尝试使用多个以太网适配器来捕获stream量，以确保这些损坏的帧是真正在线上发送的，而不仅仅是在机器上引入的工件捕获。

如果你已经确定这个stream量是真的在网上发送，那么你将不得不开始寻找什么设备正在生产它。 这看起来像是MAC层下面的物理层的低级别问题。 你不会有MAC地址通过，所以唯一的select来寻找源可能是看闪烁的链接状态，并拔掉电线，直到find一个产生这些数据包。

根本原因不是硬件有缺陷。