在公司中，经常有一些事情令网管很头痛，IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址，一般可以采用如下方法：
　　1. 首先登记所有机器的网卡物理地址，即网卡的MAC地址。

　　2. 以后如果发现有IP地址被盗用，先使用Ping命令Ping相应的IP地址。

　　3. 然后用Arp -a命令查看当前的Arp解析表，从中获得对方网卡的MAC地址。

　　4. 检查网卡MAC地址列表，确定机器位置。

　　但随着网络蠕虫病毒的流行和网络攻击的增多，许多计算机上都安装了_blank">防火墙软件，从而使得单纯的Ping命令失效。如果盗用IP的这台机器安装了_blank">防火墙软件并且把所有端口都关闭的话，这台机器就仿佛从网络上消失了一样，你无法用正常的方法去访问到它，从而也就无法知道它的具体位置。

　　解决问题的思路

　　用户使用网络，访问网络上的资源，就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话，就有可能找出特定用户的位置。

　　解决方案

　　经过对各种方法的测试，笔者发现有一种方法可以在机器安装了_blank">防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址，从而确定它的物理位置。

　　首先安装Sniffer Pro，它是一个网络监测软件，可以监测到网络上面流动的数据，安装好后运行该软件，单击工具条最左边的“开始”按钮，启动探测功能。

　　此时屏幕上会出现一个窗口，显示当前发现的机器列表和相应的参数，其中有一项“DLC Station”指的就是机器网卡的MAC地址，如图所示。



Sniffer Pro的EXPert对话框
　　找到被盗用的IP地址所对应的网卡MAC地址，就可以顺藤摸瓜查到这台机器究竟是哪台了。