|
|
前言:在一个局域网内,由于没有架设DHCP,经常出现ip地址被别人抢占的现象,该如何找到这个人呢,一般采用的方法如下
1, 交换机端口查询:首先要获得非法ip的mac地址,然后在可管理的cisco交换机上用sh mac-address-table add 0000.0000.0000可以看出非法mac所在的交换机端口。然后根据拓扑可以知道往下连到哪里,然后逐步判断
2,ARP欺骗查询:用下面的方法只能判断出非法ip的区域位置,特别是碰到不可网管的交换机,不能从上面查出更底层的接口的时候,还是不能定位到责任人。这个时候我们可以通过抓包来继续查找:在交换网络中,我们用一般的sniffer抓包工具只能抓到广播包,不能抓到某个ip地址的其他包,这个时候我们使用cain软件,把对方ip地址的包欺骗过来,比如我们大约能知道责任人经常访问的ip地址,这个ip地址可能是网关,也可能是互联网防火墙、邮件服务器、财务应用系统等,用cain软件制定非法ip到这几个ip的访问包,然后配合sniffer来进行抓包分析。分析的方法可以根据责任人的工号、邮件内容、访问系统的用户名等细节来查找
3,Mac地址匹配查询:有时候用上面的方法都不行:比如,某个人设置了别人的ip地址,但是由于一直没有用网络,没有流量,所以用cain和sniffer抓包就无效了。网管人员一般都有一张ip地址分配表,标明了ip地址和人员对应关系。这个时候可以扫描一下局域网的机器,然后用arp –a,查找非法的mac地址是否和另外的mac有匹配的,一般情况下,同一个网卡生产厂商的mac地址开头几个字符是相同的,根据这个方法查找mac地址前几位是否和非法mac的对应关系,也能找到责任人。当然这个方法有一定的几率。 |
|
[复制链接]
IP卡
狗仔卡
发表于 2011-8-23 16:08
沉默卡
喧嚣卡
变色卡