Если это обычный дамп с локальной машины, то для пакетов, предназначенных в другую сеть, отличную от сети локальной машины, все dst мак-адреса будут адресом шлюза. Соответственно для пакетов из другой сети к вашей машине src мак-адрес будет всегда адресом шлюза. Если же одинаковые мак-адреса для IP в сети локальной машины в голову приходят следующие пример:
- на удаленной машине созданы куча виртуальных сетевых интерфейсов с разными IP-адресами. В данном случае, например juniper, будет использовать один и тот же mac-адрес по умолчанию базового интерфейса.
- используется хитрая реализация резервирования, когда реально вам отвечает виртуальный MAC-адрес с любых (реальных или виртуальных) IP-адресов.
- возможно вы смотрите дамп устройств, подключенных по wifi и видете на самом деле три MAC-адреса, один из которых принадлежит wifi-точке.
- вы смотрите мак-адреса какого-нибудь тоннеля или прокси, просто wireshark сразу предоставляет в более развернутом виде картинку.
- маки заданы в ручную для каких-то специфичных целей.
- если вы имеете в виду именно исходящие пакеты с одинаковым dst mac адресом, может быть задан статическая arp-запись.
Могут быть и другие варианты.
Если вы не поняли, что я имею в виду, просто примите как факт, что так надо.
