Bor*_*jaX 6 network-monitoring mac-address
在监控我办公室的网络时,我看到大量流量来自设备的 MAC 地址制造商部分(三个最重要的八位字节)是00:FF:01我看不到客户端部分,但此前缀显示的流量比任何其他制造商的任何其他设备。
我一直无法找到谁是这种设备的制造商,或者是否是某种虚拟设备(那里的所有查询都返回No Manufacturer found for that prefix)
我什至不确定ServerFault是否是问这个问题的正确地方,但我已经没有选择了。有谁知道那是什么类型的设备?它们是虚拟设备吗?
先感谢您。
编辑 1:
运行 WireShark 我能够找到这些东西之一的整个 MAC :(00:FF:01:FF:02:FF对于 MAC 地址来说真的很奇怪)。在最后...... 30 分钟左右,似乎只有那个特定的 MAC 地址在发送流量。我不确定我之前看到的所有点击(那些我只能看到制造商部分的点击)是否来自同一个00:FF:01:FF:02:FF,或者是否有可能有相同制造商的其他设备,00:FF:01但它们不是现在传送。
我只是猜测,但最近我们遇到了 Wireshark 也无法理解的奇怪数据包风暴。几天后,一位同事注意到,如果删除前 16 个字节,这些数据包会更有意义,并且看起来像 IPv6/以太网多播数据包。(在字节流稍后的某个地方看到 33:33 看起来很熟悉......)
在我们的案例中,是带有集成网络适配器的 Apple Thunderbolt 显示器导致了这些数据包。看起来像是他们的固件中的错误。对于这 16 个字节,源 MAC 地址始终为00:02:01:00:00:00,目标 MAC 地址始终为00:00:00:00:b7:00,这两者看起来都不是随机的。
因此,也许您想检查您的数据包是否也更有意义,如果您从开头删除几个字节。
如果没有:您是否有机会捕获其中一些数据包并将其发布到此处,例如以 pcap 格式?
| 归档时间: |
|
| 查看次数: |
1445 次 |
| 最近记录: |