查找局域网抢占ip地址的电脑

查找抢占别人ip地址的方法

前言：在一个局域网内，由于没有架设DHCP，经常出现ip地址被别人抢占的现象，该如何找到这个人呢，一般采用的方法如下

1， 交换机端口查询：首先要获得非法ip的mac地址，然后在可管理的cisco交换机上用sh mac-address-table add 0000.0000.0000可以看出非法mac所在的交换机端口。然后根据拓扑可以知道往下连到哪里，然后逐步判断

2，ARP欺骗查询：用下面的方法只能判断出非法ip的区域位置，特别是碰到不可网管的交换机，不能从上面查出更底层的接口的时候，还是不能定位到责任人。这个时候我们可以通过抓包来继续查找：在交换网络中，我们用一般的sniffer抓包工具只能抓到广播包，不能抓到某个ip地址的其他包，这个时候我们使用cain软件，把对方ip地址的包欺骗过来，比如我们大约能知道责任人经常访问的ip地址，这个ip地址可能是网关，也可能是互联网防火墙、邮件服务器、财务应用系统等，用cain软件制定非法ip到这几个ip的访问包，然后配合sniffer来进行抓包分析。分析的方法可以根据责任人的工号、邮件内容、访问系统的用户名等细节来查找

3，Mac地址匹配查询：有时候用上面的方法都不行：比如，某个人设置了别人的ip地址，但是由于一直没有用网络，没有流量，所以用cain和sniffer抓包就无效了。网管人员一般都有一张ip地址分配表，标明了ip地址和人员对应关系。这个时候可以扫描一下局域网的机器，然后用arp –a，查找非法的mac地址是否和另外的mac有匹配的，一般情况下，同一个网卡生产厂商的mac地址开头几个字符是相同的，根据这个方法查找mac地址前几位是否和非法mac的对应关系，也能找到责任人。当然这个方法有一定的几率。

嗯 很有收获