O Windows transmite constantemente informações do nó NetBIOS, assim como o OSX transmite constantemente informações do mDNS (Bonjour).
Estou executando o Wireshark no Windows dentro de uma máquina virtual. O Wireshark continua reportando a atividade da rede, mesmo que eu não tenha nada rodando lá que esteja acessando a rede.
Se você tiver uma rede ethernet e qualquer host executando IP, verá mensagens ocasionais de ARP (Protocolo de Resolução de Endereço), mesmo que não esteja usando ativamente a rede.
ARP é o protocolo usado pelos hosts para descobrir quais endereços IP correspondem aos endereços Ethernet (MAC).
Por exemplo:
Host 1: Who has 192.168.1.2?
Host 2: I have 192.168.1.2 and my MAC is aa:bb:cc:dd:ee:ff
Agora o host 1 sabe que qualquer pacote que tenha 192.168.1.2 como seu destino pode ser enviado em um pacote ethernet que tenha aa: bb: cc: dd: ee: ff como seu destino.