在公司中，經(jīng)常有一些事情令網(wǎng)管很頭痛，IP地址被非法用戶盜用更是頭痛。為了找到是哪臺機器盜用了IP地址，一般可以采用如下方法：
    1. 首先登記所有機器的網(wǎng)卡物理地址，即網(wǎng)卡的MAC地址。
    2. 以后如果發(fā)現(xiàn)有IP地址被盜用，先使用Ping命令Ping相應(yīng)的IP地址。
    3. 然后用Arp -a命令查看當(dāng)前的Arp解析表，從中獲得對方網(wǎng)卡的MAC地址。
    4. 檢查網(wǎng)卡MAC地址列表，確定機器位置。
    但隨著網(wǎng)絡(luò)蠕蟲病毒的流行和網(wǎng)絡(luò)攻擊的增多，許多計算機上都安裝了防火墻軟件，從而使得單純的Ping命令失效。如果盜用IP的這臺機器安裝了防火墻軟件并且把所有端口都關(guān)閉的話，這臺機器就仿佛從網(wǎng)絡(luò)上消失了一樣，你無法用正常的方法去訪問到它，從而也就無法知道它的具體位置。
    解決問題的思路：
    用戶使用網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)上的資源，就勢必會在網(wǎng)絡(luò)上傳輸數(shù)據(jù)。如果我們能夠監(jiān)聽到這些數(shù)據(jù)并對它進行分析的話，就有可能找出特定用戶的位置。
    解決方案：
    經(jīng)過對各種方法的測試，筆者發(fā)現(xiàn)有一種方法可以在機器安裝了防火墻的情況下依然可以探測到它的存在并且查到它的網(wǎng)卡MAC地址，從而確定它的物理位置。
    首先安裝Sniffer Pro，它是一個網(wǎng)絡(luò)監(jiān)測軟件，可以監(jiān)測到網(wǎng)絡(luò)上面流動的數(shù)據(jù)，安裝好后運行該軟件，單擊工具條最左邊的“開始”按鈕，啟動探測功能。
    此時屏幕上會出現(xiàn)一個窗口，顯示當(dāng)前發(fā)現(xiàn)的機器列表和相應(yīng)的參數(shù)，其中有一項“DLC Station”指的就是機器網(wǎng)卡的MAC地址，如圖所示：
    Sniffer Pro的Expert對話框
    找到被盜用的IP地址所對應(yīng)的網(wǎng)卡MAC地址，就可以順藤摸瓜查到這臺機器究竟是哪臺了。