如何找到网络中谁在使用网络执法官啊？

快乐3幸福4 · 发表于 2006-4-20 10:10:29

我是一家小公司的网管，公司电脑只有几十台，在一个网段里面。
最近网络有时候时续时继的，猜测可能是有人在使用网络执法官之类的软件，听说sniffer可以找出是谁在使用网络执法官，但不知道怎么用，帮帮忙啊！
我的操作系统:XP+SP1，装有sniffer pro 4.70.530.

快乐3幸福4 · 发表于 2006-4-20 10:11:39

刚听一个哥们说，要接在什么镜像端口上，什么是镜像端口啊？

土豆 · 发表于 2006-4-20 11:30:29

直接在Sniffer的过滤器中设置ARP协议就可以了。

[ 本帖最后由土豆于 2006-4-20 11:33 编辑 ]

菜鸟人飞 · 发表于 2006-4-20 12:01:18

原帖由土豆于 2006-4-20 11:30 发表
直接在Sniffer的过滤器中设置ARP协议就可以了。

正解。
由于网络执法官之类的软件，其工作原理是通过主动ARP发包工作的，所以在Sniffer的过滤器中设置ARP协议即可，如附图。

菜鸟人飞 · 发表于 2006-4-20 12:06:50

原帖由 快乐3幸福4 于 2006-4-20 10:11 发表
刚听一个哥们说，要接在什么镜像端口上，什么是镜像端口啊？

端口镜像是将网络中其它端口的数据，复制一份到镜像端口上，这样接在镜像端口上的机器就可以抓取网络中传输的所有数据通讯。

如果抓包的机器（安装Sniffer的机器）连在Hub上，直接接上去即可捕获到所有的数据通讯。
如果抓包的机器（安装Sniffer的机器）连在交换机上，那么必须接到镜像端口上，不然将只能捕获你本机的数据通讯和网络中的广播组播数据包。

不过你这儿的情况比较特殊，即你希望捕获的是ARP数据包，而ARP的请求数据包广播的，在不配置镜像的情况下，你也可以捕获到网络中所有的ARP请求数据包，不过对于ARP回应数据包，就不能捕获到了，因为ARP回应数据包是单播数据包。

所以，如果你接在交换机上，那么建议你配置端口镜像，这样才能得到完整的数据。

菜青虫 · 发表于 2006-4-20 13:05:29

呵呵，学到东西了，类似网络执法官之类的软件，有哪些呢，能举几个出来吗

菜鸟人飞 · 发表于 2006-4-20 13:38:39

有很多的，比如网路岗、网络警、网络警察。。。。

快乐3幸福4 · 发表于 2006-4-21 15:14:13

我不知道我接的端口是不是什么镜像端口，但按照你们说的方法，在Sniffer中的确看到有台机器有很多ARP数据包，根据以前做的IP与MAC对应表，取掉了相应端口的网线，呵呵，好了。
我就等着他来找我吧，哈哈　

再次感谢飞版和土豆MM