在监控我办公室的网络时,我发现大量流量来自那些 MAC 地址制造商部分(三个最重要的八位字节)的设备,00:FF:01我看不到客户端部分,但这个前缀显示的流量比任何其他制造商的任何其他设备多约 50%。
我无法找到这种设备的制造商是谁,或者它是否是某种虚拟设备(所有查询都返回未找到该前缀的制造商)
我甚至不确定服务器故障是问这个问题的正确地方,但我没有其他选择。有人知道那是什么类型的设备吗?它们是虚拟设备吗?
先感谢您。
编辑1:
运行 WireShark 后,我能够找到以下其中一个设备的整个 MAC 地址:(00:FF:01:FF:02:FF对于 MAC 地址来说,这看起来确实很奇怪)。在过去的 30 分钟左右,似乎只有那个特定的 MAC 地址在发送流量。我不确定我之前看到的所有命中(我只能看到制造商部分的命中)是否来自同一个00:FF:01:FF:02:FF,或者是否有可能存在其他具有相同制造商的设备,00:FF:01但它们现在没有传输。
答案1
我只是猜测,但我们最近遇到了大量奇怪的数据包,Wireshark 也无法理解。几天后,一位同事注意到,如果删除前 16 个字节,这些数据包会更有意义,看起来像 IPv6/以太网多播数据包。(在字节流的后面某处看到 33:33 看起来很熟悉……)
在我们的案例中,是带有集成网络适配器的 Apple Thunderbolt 显示器导致了这些数据包。看起来像是固件中的一个错误。有了这 16 个字节,源 MAC 地址始终是00:02:01:00:00:00,目标 MAC 地址也始终是,00:00:00:00:b7:00这两个地址看起来都不是随机的,这很可疑。
因此,也许您想检查一下,如果从开头删除几个字节,您的数据包是否更有意义。
如果没有:您是否可以捕获其中一些数据包并将它们发布到这里,例如以 pcap 格式?