乙太網路類型未知的廣播幀

那不是以太類型。

乙太網路幀可以有幾個不同的標頭格式– 「Ethernet II」又稱為「DIX」是最常見的一種，但它不是 IEEE 802 標準最初指定的。

在標準中802.2格式（又稱“LLC”），MAC 位址後面接著一個 2 位元組幀長字段，後面跟著一個 3 位元組的 LLC 標頭，其中包含兩個「SAP」值（通常相同），指示 IEEE 分配的協定號。

（很容易區分這兩種格式 - 乙太網路 II「乙太網路類型」始終高於 0x0600，而 802.2「幀長度」始終低於 0x0600。）

FF FF FF FF FF FF    destination MAC
00 12 3F 8C BB C2    source MAC
00 54                frame length (84 bytes)
E0 E0 03             LLC header
├─E0                   DSAP (E0=NetWare)
├─E0                   SSAP (E0=NetWare)
└─03                   control
FF FF 00 50 00...    data

在本例中，您看到的幀具有 SSAP=0xE0、DSAP=0xE0，這表示 Novell網路軟體IPX。封包資料從 開始FF FF ...，這也符合常用的 NetWare IPX 封包格式。

更新

10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
     0x0000:  ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
     0x0010:  03ff ff00 5000 1400 0000 00ff ffff ffff  ....P...........
     0x0020:  ff04 5500 0000 0000 123f 8cbb c204 5500  ..U......?....U.
     0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
     0x0050:  0157 4f52 4b47 524f 5550 2020 2020 2020  .WORKGROUP......
     0x0060:  1eff   

根據你的 tcpdump 輸出，它確實是 IPX，並且封包正在套接字 0x0455 上發送，該套接字屬於 Microsoft網路BIOS而不是任何 NetWare 協定。 （IPX 套接字號有點像 UDP 連接埠號碼。）

NetBIOS over IPX 的工作方式與NetBIOS over TCP/IPv4 完全相同– 它處理主機名稱查找，處理「網上鄰居」/「我的網路電腦」發現，最重要的是它攜帶SMBv1 – 舊的Windows 檔案和印表機共享協定.

我不知道這個特定的資料包，但WORKGROUP後面跟著 0x1E 通常意味著「瀏覽器服務選擇」——同樣，這只是整個 LAN 電腦發現的一部分。 （如果它是透過 UDP/IP 發送的，那麼它將是 Windows LAN 上每天看到的完全正常的封包。）

我建議tcpdump -uw mypackets.pcap在 Wireshark 中使用並打開捕獲的 .pcap 文件，它可以完全解碼所有這些協議。

我還建議在設備上停用 IPX。 （同時，檢查設備是否啟用了 AppleTalk - 也將其停用。）