Eu me concentro em dispositivos que estão no mesmo link. A melhor maneira de verificar os dispositivos é procurar em cada dispositivo possível por algum software / configuração que finalize o pacote. Observe que você não deve restringir sua pesquisa apenas a outros dispositivos. (A unidade que é despertada pode estar sendo despertada por alguma outra causa, como um evento agendado, e coincidentemente enviar WoL.)
Se você não encontrar a causa de lá, sua melhor aposta pode ser deixar o computador ligado, intencionalmente, e executar um sniffer de rede que pode realizar a captura de pacotes. (Eu esperaria que o TCPDump pudesse fazer isso, e também o WireShark. No entanto, sei que o WireShark é conhecido por ter alguns problemas de segurança, então essa pode não ser a melhor opção se você estiver em uma rede onde um invasor possa se comunicar com o computador que acorda.)
Esse sniff / capture deve ser capaz de lhe dizer o endereço MAC-48 do dispositivo que está enviando o pacote. Em seguida, consulte a consulta de endereço MAC para encontrar o fabricante do dispositivo.
Se isso não funcionar, a troca de partes pode ajudar. Note que o WoL pode ser enviado por outras coisas além de computadores. Por exemplo, sabe-se que os roteadores têm a opção de enviar um pacote de WoL.