Dispositivos com a seção do fabricante do MAC “00: FF: 01”?

Question

Dispositivos com a seção do fabricante do MAC “00: FF: 01”?

#1 resposta do (2 votos)

6

Durante o monitoramento da rede do meu escritório, vi uma quantidade enorme de tráfego proveniente de dispositivos cuja parte do fabricante do endereço MAC (os três octetos mais significativos) é 00:FF:01 Não consigo ver a parte do cliente, mas esse prefixo está aparecendo ~ 50% mais tráfego do que qualquer outro dispositivo de qualquer outro fabricante.

Eu não consegui encontrar quem é o fabricante de tal dispositivo, ou se é algum tipo de dispositivo virtual (todas as consultas por aí retornam um Nenhum fabricante encontrado para aquele prefixo )

Eu nem tenho certeza se ServerFault é o lugar certo para perguntar isso, mas estou ficando sem opções. Alguém sabe que tipo de dispositivo é esse? Eles são dispositivos virtuais?

Obrigado antecipadamente.

EDIT 1:

Rodando o WireShark, pude encontrar todo o MAC de uma dessas coisas: 00:FF:01:FF:02:FF (realmente parece estranho para um endereço MAC). Nos últimos 30 minutos, apenas esse endereço MAC em particular parece estar enviando tráfego. Não sei ao certo se todos os hits que eu vi antes (aqueles em que eu só podia ver a parte do fabricante) vinham do mesmo 00:FF:01:FF:02:FF , ou se há a possibilidade de haver outros dispositivos com o mesmo fabricante 00:FF:01 mas eles não estão transmitindo agora.

network-monitoring mac-address

por BorrajaX 11.12.2014 / 01:26

1 resposta

Tags network-monitoring mac-address

Bash: menu completo apenas para alguns jogos Atualização do Windows Server 2008 para R2 com Hyper V

score 2 · Answer 1

Estou apenas supondo, mas recentemente tivemos tempestades de pacotes estranhos que o Wireshark também não entendeu. Após alguns dias, um colega de trabalho notou que os pacotes fazem mais sentido e se parecem com os pacotes IPv6 / Ethernet Multicast se você remover os primeiros 16 bytes. (Ver 33:33 em algum momento posterior no fluxo de bytes parecia familiar ...)

No nosso caso, foram os monitores Apple Thunderbolt com um adaptador de rede integrado que causou esses pacotes. Parece um bug no firmware deles. Com esses 16 bytes, o endereço MAC de origem sempre foi 00:02:01:00:00:00 e o endereço MAC de destino sempre foi 00:00:00:00:b7:00 , ambos suspeitosamente não aleatórios.

Então, talvez você queira verificar se os seus pacotes também fazem mais sentido se você remover alguns bytes do começo.

Se não: Qualquer chance de que você possa capturar alguns desses pacotes e publicá-los aqui, por exemplo no formato pcap?