sniffer抓包（sniffer抓包原理）

如何将网卡设为混杂模式？

1.网上流传的设置调整网卡属性，是全双工和半双工设置。

sniffer抓包（sniffer抓包原理）

2.网卡设置为混杂模式是比较麻烦的，需要通过编程底层来修改。

3.常见的抓包工具如 ，都自动调整网卡混杂模式功能，开启抓包自动调整为混杂模式，关闭停止抓包程序。恢复正常模式

如何截获网络数据包?截获的原理是什么？

截取数据包可以仿照sniffer的方法，将把网卡置于混杂模式（Raw Socket）的方法，然后抓包，分析…… 另外你的网络流量监控系统是监控链路还是监控节点，监控节点的话直接访问注册表就可以了（windows)，如果是监控整个网络环境的话可参考icmp协议的使用。

通过MAC地址如何能快速有效的查到IP地址？

mac地址仅限局域网内使用，用的是网络协议ip地址，而且互联网允许存在mac地址相同而ip地址不同主机，只要他们不在同一个物理网段。方法一：用 查询这种方法只能查到与本机通讯过（20分钟内）的主机MAC地址和IP地址。可在远程主机所属网段中的任一台主机上运行此命令，这样可查出IP欺骗类病毒的主机。方法二：用专用软件查，如命令方式是： -r 网络号/掩码位，这种方法可查询某网段的所有I对应关系，但装有防火墙的主机则禁止查询。方法三： 如果所连交换机有网管功能，可用 命令显示交换机的arp缓存信息，这种方式基本可查询所有的IP 与MAC地址，但只有网管才有这个权限。方法四：用类的嗅探软件抓包分析，中一般都含用IP地址与MAC地址。方法五：用类软件中的 查询，但这个工具好象不能跨网段查询。

如果电脑中了ARP病毒有什么表现？

一种是对路由器ARP表的欺骗，该种攻击截获网关数据。

sniffer抓包（sniffer抓包原理）

通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；

另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。 针对这种情况瑞星公司提供以下解决办法：

方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入m，通过命令行窗口输入“”命令，查看ARP列表。

会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。

方法二、借助第三方抓包工具（如或）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。

造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

怎么查找局域网中ARP病毒主机？

ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。

通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。方法一：在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入m，通过命令行窗口输入“”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。方法二：借助第三方抓包工具（如或）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。

sniffer抓包（sniffer抓包原理）

在windows7下怎样将网卡设置为混杂模式？

网卡混杂模式（ ）
工作在混杂模式下的网卡接收所有的流过网卡的帧，信包捕获程序就是在这种模式下运行的。一般的网络分析工具，都是通过把网卡设置为混杂模式来获取底层数据流。
网卡设置为混杂模式
1.网上流传的设置调整网卡属性，是全双工和半双工设置。
2.网卡设置为混杂模式是比较麻烦的，需要通过编程底层来修改。
3.常见的抓包工具如 ,都自动调整网卡混杂模式功能，开启抓包自动调整为混杂模式，关闭停止抓包程序。恢复正常模式