What's upstream from the box that's receiving the mystery traffic?<br><br>There are are several ways to monitor the traffic before it gets to your box.<br><br>1) if the upstream box is a managed switch you can "mirror" the traffic<br>
to a spare port, <br><br>2) if you have an old ethernet hub (not a switch),<br>you can put between the upstream box and the<br>box getting the mystery traffic.<br><br>3) you can build an ethernet tap.<br><br>    <a href="http://enigmacurry.com/category/electronics/">http://enigmacurry.com/category/electronics/</a><br>
<br>4) if you have a spare box you can stick two ethernet cards into, <br>you can manually configure a bridge using command line tools, <br>or just install one of many linux based router distributions.<br><br>5) There may be other options depending on what the<br>
current upstream box is.<br><br>Once you have a hardware configuration<br>that supports capturing all the traffic,<br>before it gets to the firewall filters that<br>drops the traffic before you see it,<br><br>
then you can use wireshark to analyze the traffic,<br>or, if the box capturing the traffic is not running X,<br>you can use tcpdump to capture a binary file first, <br>then ftp it to a box with x and a wireshark.<br><br>
<br>-- <br>Drew Einhorn<br>