不明な Ethertype のブロードキャスト フレーム

それはイーサタイプではありません。

イーサネットフレームにはいくつかの異なるヘッダー形式– 「Ethernet II」または「DIX」は最も一般的なものですが、これは IEEE 802 標準で最初に指定されたものではありません。

標準では802.2 形式（別名「LLC」）では、MACアドレスの後に2バイトのフレームの長さフィールドの後に、IEEE が割り当てたプロトコル番号を示す 2 つの「SAP」値 (通常は同一) を含む 3 バイトの LLC ヘッダーが続きます。

(2 つの形式を区別するのは簡単です。Ethernet II の「Ethertype」は常に 0x0600 より上ですが、802.2 の「フレーム長」は常に 0x0600 より下です。)

FF FF FF FF FF FF    destination MAC
00 12 3F 8C BB C2    source MAC
00 54                frame length (84 bytes)
E0 E0 03             LLC header
├─E0                   DSAP (E0=NetWare)
├─E0                   SSAP (E0=NetWare)
└─03                   control
FF FF 00 50 00...    data

この場合、SSAP=0xE0、DSAP=0xE0のフレームを見ていることになります。これはNovellネットウェアIPXパケット データは で始まりFF FF ...、これも通常の NetWare IPX パケット形式と一致します。

アップデート

10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
     0x0000:  ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
     0x0010:  03ff ff00 5000 1400 0000 00ff ffff ffff  ....P...........
     0x0020:  ff04 5500 0000 0000 123f 8cbb c204 5500  ..U......?....U.
     0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0050:  0157 4f52 4b47 524f 5550 2020 2020 2020  .WORKGROUP......
     0x0060:  1eff   

tcpdumpの出力によると、確かにIPXであり、パケットはMicrosoftに属するソケット0x0455で送信されています。ネットBIOSNetWare プロトコルには対応していません (IPX ソケット番号は UDP ポート番号に似ています)。

NetBIOS over IPX は NetBIOS over TCP/IPv4 とまったく同じように動作します。ホスト名の検索や、「ネットワーク コンピュータ」/「マイ ネットワーク コンピュータ」の検出を処理し、最も重要な点として、古い Windows ファイルおよびプリンター共有プロトコルである SMBv1 を実行します。

この特定のパケットについてはわかりませんが、WORKGROUP0x1E が続くパケットは通常、「ブラウザー サービスの選択」を意味します。これも、LAN コンピューターの検出機能全体の一部にすぎません。(UDP/IP 経由で送信された場合、Windows LAN で毎日見られる完全に通常のパケットになります。)

tcpdump -uw mypackets.pcapキャプチャした .pcap ファイルを Wireshark で使用して開くことをお勧めします。Wiresharkでは、これらすべてのプロトコルを完全にデコードできます。

また、デバイスで IPX を無効にすることもお勧めします。(その際、デバイスで AppleTalk が有効になっているかどうかを確認し、これも無効にしてください。)