利用Sniffer Pro彻底解决IP被盗用问题

利用Sniffer Pro彻底解决IP被盗用问题

作者：赛迪网-中国电脑报　来源：赛迪网-中国电脑报

在公司中，经常有一些事情令网管很头痛，IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址，一般可以采用如下方法：

1. 首先登记所有机器的网卡物理地址，即网卡的MAC地址。

2. 以后如果发现有IP地址被盗用，先使用Ping命令Ping相应的IP地址。

3. 然后用Arp -a命令查看当前的Arp解析表，从中获得对方网卡的MAC地址。

4. 检查网卡MAC地址列表，确定机器位置。

但随着网络蠕虫病毒的流行和网络攻击的增多，许多计算机上都安装了防火墙软件，从而使得单纯的Ping命令失效。如果盗用IP的这台机器安装了防火墙软件并且把所有端口都关闭的话，这台机器就仿佛从网络上消失了一样，你无法用正常的方法去访问到它，从而也就无法知道它的具体位置。

解决问题的思路：

用户使用网络，访问网络上的资源，就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话，就有可能找出特定用户的位置。

解决方案：

经过对各种方法的测试，笔者发现有一种方法可以在机器安装了防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址，从而确定它的物理位置。

首先安装Sniffer Pro，它是一个网络监测软件，可以监测到网络上面流动的数据，安装好后运行该软件，单击工具条最左边的“开始”按钮，启动探测功能。

此时屏幕上会出现一个窗口，显示当前发现的机器列表和相应的参数，其中有一项“DLC Station”指的就是机器网卡的MAC地址，如图所示：



Sniffer Pro的Expert对话框

找到被盗用的IP地址所对应的网卡MAC地址，就可以顺藤摸瓜查到这台机器究竟是哪台了。

又快又准　五大查找对方IP的地址的方法

与好友在网络上相互传输资料时，有时先要知道对方计算机的IP地址，才能与对方建立信息传输通道。

那么对方的IP地址该如何搜查得到呢?这样的问题你也许会嗤之以鼻，的确，查询对方计算机的IP地址，实在简单得不值得一提;可是，要让你列举出多种IP地址搜查方法时，你可能就感到勉为其难了。下面，本文就对如何又快又准地搜查出对方好友的计算机IP地址，提出如下几种方法，相信能对大家有所帮助!

1、邮件查询法

使用这种方法查询对方计算机的IP地址时，首先要求对方先给你发一封电子邮件，然后你可以通过查看该邮件属性的方法，来获得邮件发送者所在计算机的IP地址;下面就是该方法的具体实施步骤:

首先运行OutLook express程序，并单击工具栏中的“接受全部邮件”按钮，将朋友发送的邮件接受下来，再打开收件箱页面，找到朋友发送过来的邮件，并用鼠标右键单击之，从弹出的右键菜单中，执行“属性”命令;

在其后打开的属性设置窗口中，单击“详细资料”标签，并在打开的标签页面中，你将看到“Received: from xiecaiwen (unknown [11.111.45.25])”这样的信息，其中的“11.111.45.25”就是对方好友的IP地址;当然，要是对方好友通过Internet中的WEB信箱给你发送电子邮件的话，那么你在这里看到的IP地址其实并不是他所在工作站的真实IP地址，而是WEB信箱所在网站的IP地址。

当然，如果你使用的是其他邮件客户端程序的话，查看发件人IP地址的方法可能与上面不一样;例如要是你使用foxmail来接受好友邮件的话，那么你可以在收件箱中，选中目标邮件，再单击菜单栏中的“邮件”选项，从弹出的下拉菜单中选中“原始信息”命令，就能在其后的界面中看到对方好友的IP地址了。

2、日志查询法

这种方法是通过防火墙来对QQ聊天记录进行实时监控，然后打开防火墙的日志记录，找到对方好友的IP地址。为方便叙述，本文就以KV2004防火墙为例，来向大家介绍一下如何搜查对方好友的IP地址:

考虑到与好友进行QQ聊天是通过UDP协议进行的，因此你首先要设置好KV防火墙，让其自动监控UDP端口，一旦发现有数据从UDP端口进入的话，就将它自动记录下来。在设置KV2004防火墙时，先单击防火墙界面中的“规则设置”按钮，然后单击“新建规则”按钮，弹出设置窗口;

在该窗口的“名称”文本框中输入“搜查IP地址”，在“说明”文本框中也输入“搜查IP地址”;再在“网络条件”设置项处，选中“接受数据包”复选框，同时将“对方IP地址”设置为“任何地址”，而在“本地IP地址”设置项处不需要进行任何设置;

下面再单击“UDP”标签，并在该标签页面下的“本地端口”设置项处，选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”;同样地，在“对方端口”设置项处，也选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”。

接着在“当所有条件满足时”设置项处，选中“通行”选项，同时将“其他处理”处的“记录”选项选中，而“规则对象”设置项不需要进行任何设置;完成了上面的所有设置后，单击“确定”按钮，返回到防火墙的主界面;再在主界面中选中刚刚创建好的“搜查IP地址”规则，同时单击“保存”按钮，将前面的设置保存下来。

完成好上面的设置后，KV防火墙将自动对QQ聊天记录进行全程监控，一旦对方好友给你发来QQ信息时，那么对方好友的IP地址信息就会自动出现在防火墙的日志文件中，此时你可以进入到KV防火墙的安装目录中，找到并打开“kvfwlog”文件，就能搜查到对方好友的IP地址。

3、工具查询法

这种方法是通过专业的IP地址查询工具，来快速搜查到对方计算机的IP地址。例如，借助一款名为WhereIsIP的搜查工具，你可以轻松根据对方好友的Web网站地址，搜查得到对方好友的IP地址，甚至还能搜查到对方好友所在的物理位置。在用WhereIsIP程序搜查对方IP地址时，首先启动该程序打开搜查界面，然后单击该界面的“Web site”按钮，在其后的窗口中输入对方好友的Web地址，再单击“next”按钮，这样该程序就能自动与Internet中的Domain Name Whois数据库联系，然后从该数据库中搜查到与该Web网站地址对应的IP地址了。当然，除了可以知道IP地址外，你还能知道对方好友所在的具体物理位置。

倘若要想查看局域网中某个工作站的IP地址时，可以使用“网络刺客II”之类的工具来帮忙;只要你运行该工具进入到它的主界面，然后执行工具栏中的“IP地址主机名”命令，在其后打开的对话框中，输入对方好友的计算机名称，再单击“转换成IP”按钮，就能获得对方好友所在计算机的IP地址了。

如果你使用Oicqsniffer工具的话，那么查询QQ好友的IP地址就更简单了。只要你单击该程序界面中的“追踪”按钮，然后向对方好友发送一条QQ消息，那么Oicqsniffer工具就会自动将对方好友的IP地址以及端口号显示出来了。除此之外，还有许多可以查找IP地址的专业工具可以选择，例如IPsniper软件。

4、命令查询法

这种方法是通过Windows系统内置的网络命令“netstat”，来查出对方好友的IP地址，不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤:

首先单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入“cmd”命令，单击“确定”按钮后，将屏幕切换到MS-DOS工作状态;然后在DOS命令行中执行“netstat -n”命令，在弹出的界面中，你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”，就表明你的计算机和对方计算机之间的连接是成功的);

其次打开QQ程序，邀请对方好友加入“二人世界”，并在其中与朋友聊上几句，这样你的计算机就会与对方好友的计算机之间建立好了TCP连接;此时，再在DOS命令行中执行“netstat -n”命令，看看现在又增加了哪个tcp连接，那个新增加的连接其实就是对方好友与你之间的UDP连接，查看对应连接中的“Foreign Address”就能知道对方好友的IP地址了。

5、Ping检查法

这种方法就是利用“ping”命令，来检查当前计算机是否能与对方好友的网站连通，在检查的过程中该地址能自动获得对方网站的IP地址。比方说，要是你想搜查赛迪网的IP地址时，可以先打开系统的运行对话框，然后在其中输入“ping www.ccidnet.com”字符串命令，再单击“确定”按钮，在弹出的窗口中，就能知道网站的IP地址了。同样地，你也可以搜查其他网站的IP地址。

好了，上面就是查询好友计算机IP地址的几种常用方法;要是你还有其他更好方法的话，恳请不断补充完善!

两大妙招 让你的网卡突破物理地址限制

作者：dongtai　来源：赛迪网技术社区

相信在学校使用网络的用户都比较清楚，现在一般的学校都是采用IP绑定物理网卡的地址来限制IP的盗用，所以我们在申请入网的时候都需要先递交我们电脑上网卡的物理地址，开通后，当我们这个IP对应的电脑网卡要不是我们我们之前上报物理地址的网卡的话，这块网卡是上不了的。

笔者之前也碰到过这种麻烦：我宿舍有A，B，C两台电脑（这三台电脑用的是Realtek RTL8139 PCI网卡）、一个交换机，并申请了一个IP，在申请IP的时候递交的是A主机的物理网卡地址。其网络拓扑结构如下：



图1.1 宿舍网络拓扑结构

　

所以普通情况下来讲，B、C主机是无法使用这个IP上网的，但是笔者却通过系统及软件上的设置来达到三台机可以同时使用同一个IP上网的目的，具体做法请听我细细道来）：以下方法在Windows2000下测试通过 。

方法一：修改注册表

点击“开始”—“运行”—键入“regedit”,然后“确定”，打开注册表编辑器,找到:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass

{4D36E972-E325-11CE-BFC1-08002BE10318}

主键，再该键下有0000、0001、0002、0003、0004等类似的分支，在这些分支下面找到“DriverDesc”值为网卡描述的那个，例如，我的电脑上，网卡描述为“Intel(R) PRO/1000 MTW Network Connection”，所以我查找并得到，在我的电脑上0005这个分支里的“DriverDesc”键值为“intel(R) PRO/1000 MTW Network Connection”。

在你找到的这个分支里，寻找“NetworkAddress”键，如果没有，则新建一个字符串类型键，修改其键值为键值为你想要的网卡地址，要求是连续的12个16进制数。再在你找到的这个分支里添加名为Paramdesc的字符串项，其值可以为“Network Address”或者“MAC Adress”.注册表的设置完成。

该方法的缺点就是操作复杂，一步做错则就导致修改不成功。

方法二：修改网卡属性

在桌面上的“网络邻居”上单击右键，选“属性”，打开“网络和拨号连接”页面；选择“本地连接”，单击右键，选“属性”，打开“本地连接 属性”对话框；点击“配置”按钮，则弹出一个属性对话框，在笔者的电脑上弹出的对话框为“Intel(R) PRO/1000 MTW Network Connection 属性”，选“高级选项卡”，然后在“属性”框里选中“NetworkAddress”,修改其值为你想要的物理网卡地址就可以了，要求是连续的12个16进制数。

修改完成后，你就准备多台电脑同时使用一个IP上网冲浪吧。不过，此方法还存在一 个小小的不足，根笔者的经验，当这几台电脑中，其中一台使用BT或者FTP这种长期占用网络连接的工具时，其他几台电脑是上不了网的，只有使用这类工具的电脑能上网，当这些工具关闭之后，其他电脑又能再上网；此外，还又个问题就是，使用同一个IP的这些电脑相互之间是无法共享访问的。不过笔者认为，这些不足与每个多交那么多昂贵的网费相比起来是微不足道的。

此外，第一种方法适用于任何一台机，但是操作太过于复杂；第二种方法操作简单但并不适合于每一台机，主要跟物理网卡的类型有关，因为而且网卡发出包的源MAC地址并不是网卡本身write的,而由驱动或APP提供的，而第二种方法能否实现则与网卡的驱动程序挂钩。原因是这要求电脑上的物理网卡允许修改物理网卡地址才行，并不是所有的网卡都支持这样修改物理地址,例如Intel(R) PRO/1000就不支持这种方法修改物理网卡地址，Realtek RTL8139 PCI网卡则可以，笔者宿舍里的三台电脑用的是Realtek RTL8139 PCI网卡，虽然说现在网卡价格很低，已经到了不讲品牌的地步，但是听见笔者给你推荐这个技巧之后，你以后选网卡会不会对Realtek网卡多留个心呢？