公司中,經常有一些事情令網管很頭痛,IP地址被非法用戶盜用更是頭痛。為了找到是哪台機器盜用了IP地址,一般可以採用如下方法: 1. 首先登記所有機器的網卡物理地址,即網卡的MAC地址。
2. 以後如果發現有IP地址被盜用,先使用Ping命令Ping相應的IP地址。
3. 然後用Arp -a命令查看當前的Arp解析表,從中獲得對方網卡的MAC地址。
4. 檢查網卡MAC地址列表,確定機器位置。
但隨著網絡蠕蟲病毒的流行和網絡攻擊的增多,許多計算機上都安裝了防火牆軟件,從而使得單純的Ping命令失效。如果盜用IP的這台機器安裝了防火牆軟件並且把所有端口都關閉的話,這台機器就彷彿從網絡上消失了一樣,你無法用正常的方法去訪問到它,從而也就無法知道它的具體位置。
解決問題的思路
用戶使用網絡,訪問網絡上的資源,就勢必會在網絡上傳輸數據。如果我們能夠監聽到這些數據並對它進行分析的話,就有可能找出特定用戶的位置。
解決方案
經過對各種方法的測試,筆者發現有一種方法可以在機器安裝了防火牆的情況下依然可以探測到它的存在並且查到它的網卡MAC地址,從而確定它的物理位置。
首先安裝Sniffer Pro,它是一個網絡監測軟件,可以監測到網絡上面流動的數據,安裝好後運行該軟件,單擊工具條最左邊的「開始」按鈕,啟動探測功能。
此時屏幕上會出現一個窗口,顯示當前發現的機器列表和相應的參數,其中有一項「DLC Station」指的就是機器網卡的MAC地址
找到被盜用的IP地址所對應的網卡MAC地址,就可以順籐摸瓜查到這台機器究竟是哪台了。