在公司中,经常有一些事情令网管很头痛,IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址,一般可以采用如下方法。
作者:zdnet安全频道 来源:论坛整理 2008年10月22日
关键字: IP地址
在公司中,经常有一些事情令网管很头痛,IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址,一般可以采用如下方法:
1. 首先登记所有机器的网卡物理地址,即网卡的MAC地址。
2. 以后如果发现有IP地址被盗用,先使用Ping命令Ping相应的IP地址。
3. 然后用Arp -a命令查看当前的Arp解析表,从中获得对方网卡的MAC地址。
4. 检查网卡MAC地址列表,确定机器位置。
但随着网络蠕虫病毒的流行和网络攻击的增多,许多计算机上都安装了防火墙软件,从而使得单纯的Ping命令失效。如果盗用IP的这台机器安装了防火墙软件并且把所有端口都关闭的话,这台机器就仿佛从网络上消失了一样,你无法用正常的方法去访问到它,从而也就无法知道它的具体位置。
解决问题的思路
用户使用网络,访问网络上的资源,就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话,就有可能找出特定用户的位置。
解决方案
经过对各种方法的测试,笔者发现有一种方法可以在机器安装了防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址,从而确定它的物理位置。
首先安装Sniffer Pro,它是一个网络监测软件,可以监测到网络上面流动的数据,安装好后运行该软件,单击工具条最左边的“开始”按钮,启动探测功能。
此时屏幕上会出现一个窗口,显示当前发现的机器列表和相应的参数,其中有一项“DLC Station”指的就是机器网卡的MAC地址,如图所示。
找到被盗用的IP地址所对应的网卡MAC地址,就可以顺藤摸瓜查到这台机器究竟是哪台了。