Ce n'est pas un Ethertype.
Les trames Ethernet peuvent avoir quelques formats d'en-tête différents - "Ethernet II" aka "DIX" est le plus courant, mais ce n'est pas ce que la norme IEEE 802 avait initialement spécifié.
Dans le format standard 802.2 (aka "LLC"), les adresses MAC sont suivies d'un champ de longueur de trame de 2 octets, suivi d'un en-tête LLC de 3 octets qui contient deux valeurs 'SAP' (généralement identiques) indiquant le numéro de protocole assigné par l'IEEE.
(Il est facile de distinguer les deux formats - un "Ethertype" Ethernet II est toujours au-dessus de 0x0600, tandis que la "longueur de trame" 802.2 est toujours en dessous de 0x0600.)
FF FF FF FF FF FF MAC de destination
00 12 3F 8C BB C2 MAC source
00 54 longueur de la trame (84 octets)
E0 E0 03 en-tête LLC
E0 DSAP (E0=NetWare)
E0 SSAP (E0=NetWare)
03 contrôle
FF FF 00 50 00... données
Dans ce cas, vous regardez une trame avec SSAP=0xE0, DSAP=0xE0, ce qui indique Novell NetWare IPX. Les données de paquet commencent à FF FF ..., ce qui correspond également au format habituel de paquet NetWare IPX.
Mise à jour
10:06:07.093666 IPX 00000000.00:12:3f:8c:bb:c2.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455:
ipx-netbios 50
0x0000: ffff ffff ffff 0012 3f8c bbc2 0054 e0e0 ........?....T..
0x0010: 03ff ff00 5000 1400 0000 00ff ffff ffff ....P...........
0x0020: ff04 5500 0000 0000 123f 8cbb c204 5500 ..U......?....U.
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0050: 0157 4f52 4b47 524f 5550 2020 2020 2020 .WORKGROUP......
0x0060: 1eff
Selon votre sortie tcpdump, il s'agit effectivement d'IPX, et le paquet est envoyé sur le socket 0x0455, qui appartient à Microsoft NetBIOS et non à un protocole NetWare. (Les numéros de socket IPX sont un peu comme les numéros de port UDP.)
NetBIOS sur IPX fonctionne exactement comme NetBIOS sur TCP/IPv4 - il gère la recherche de nom d'hôte, il gère la découverte de "Voisinage réseau" / "Mes ordinateurs réseau", et surtout il transporte SMBv1 - l'ancien protocole de partage de fichiers et d'imprimantes Windows.
Je ne connais pas ce paquet spécifique, mais WORKGROUP suivi de 0x1E signifie généralement "Élections de service de navigateur" - encore une fois, juste une partie de toute la découverte des ordinateurs LAN. (S'il était envoyé via UDP/IP, ce serait un paquet totalement normal vu tous les jours sur les LAN Windows.)
Je vous recommande d'utiliser tcpdump -uw mespaquets.pcap et d'ouvrir le fichier .pcap capturé dans Wireshark, qui peut décoder entièrement tous ces protocoles.
Je recommande également de désactiver IPX sur l'appareil. (Et pendant que vous y êtes, vérifiez si le protocole AppleTalk est activé - désactivez-le également.)
