Во время мониторинга сети моего офиса я заметил огромное количество трафика, исходящего от устройств, производитель MAC-адреса которых (три наиболее значимых октета) равен 00:FF:01 Я не вижу клиентскую часть, но этот префикс показывает на ~ 50% больше трафика, чем любое другое устройство от любого другого производителя.
Мне не удалось выяснить, кто является производителем такого устройства и является ли это какое-то виртуальное устройство (все запросы возвращают Производитель для этого префикса не найден)
Я даже не уверен, что ServerFault это подходящее место, чтобы спросить об этом, но у меня заканчиваются варианты. Кто-нибудь знает, что это за устройство? Это виртуальные устройства?
Заранее спасибо.
РЕДАКТИРОВАТЬ 1:
Запустив WireShark, я смог найти полный MAC одной из следующих вещей: 00:FF:01:FF:02:FF (это действительно выглядит странно для MAC-адреса). Последние ... 30 минут или около того, похоже, только этот конкретный MAC-адрес отправляет трафик. Я не знаю наверняка, все ли хиты, которые я видел раньше (те, где я мог видеть только деталь производителя), исходили от одного и того же 00:FF:01:FF:02:FF, или если есть вероятность, что были другие устройства того же производителя 00:FF:01 но сейчас они не передают.
Я просто догадываюсь, но недавно у нас были штормы странных пакетов, которые Wireshark тоже не понимал. Через несколько дней коллега заметил, что пакеты имеют больше смысла и выглядят как пакеты IPv6 / Ethernet Multicast, если удалить первые 16 байтов. (Вид 33:33 где-то позже в потоке байтов выглядел знакомым ...)
В нашем случае причиной этих пакетов были дисплеи Apple Thunderbolt со встроенным сетевым адаптером. Похоже на ошибку в их прошивке. С этими 16 байтами исходный MAC-адрес всегда был 00:02:01:00:00:00 и MAC-адрес назначения всегда был 00:00:00:00:b7:00 которые оба выглядят подозрительно неслучайно.
Так что, возможно, вы захотите проверить, имеют ли ваши пакеты больше смысла, если вы удалите несколько байтов с начала.
Если нет: есть шанс, что вы сможете захватить некоторые из этих пакетов и опубликовать их здесь, например в формате pcap?