snifferpython

‘壹’ python遇到网络问题时，怎么解决

解决方法如下：
File "e:\python\sniffer.py", line 14, in
sniffer = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol)
File "F:\python\Lib\socket.py", line 191, in init
_sock = _realsocket(family, type, proto)

‘贰’ 黑客的行为特征。

这些多网络一下，就可以得到答案。以下仅供参考。

要想更好的保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析，来研究如何对黑客攻击行为进行检测与防御。

一、反攻击技术的核心问题

反攻击技术（入侵检测技术）的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、黑客攻击的主要方式

黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：

1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

三、黑客攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

攻击类型：Land攻击是一种拒绝服务攻击。

攻击特征：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

检测方法：判断网络数据包的源地址和目标地址是否相同。

反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。

2.TCP SYN攻击

攻击类型：TCP SYN攻击是一种拒绝服务攻击。

攻击特征：它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

攻击类型：Ping Of Death攻击是一种拒绝服务攻击。

攻击特征：该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

检测方法：判断数据包的大小是否大于65535个字节。

反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

攻击类型：WinNuke攻击是一种拒绝服务攻击。

攻击特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。

5.Teardrop攻击

攻击类型：Teardrop攻击是一种拒绝服务攻击。

攻击特征：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。

反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP／UDP端口扫描

攻击类型：TCP/UDP端口扫描是一种预探测攻击。

攻击特征：对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。

检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为（如分布式攻击、组合攻击）不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：

1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等着名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。

5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。

入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。

‘叁’ 请问如何跨网段实现网络唤醒

下面的分析可以参考，跨网唤醒需要在路由上进行设置：

远程唤醒：
1、除了在BIOS中开启远程唤醒功能外，有些主板要求开启以下功能：
AC Back Function（设置掉电重启后系统的状态）
主板的来电唤醒功能 比如一插电源线主机就启动看你想怎么设置了 使用远程唤醒将“AC BACK Function”设置为“Full-on”即可 关机，开机，先前的状态（原来开时后来电就马上开机，原来关机后来电时还保持关机状态）

2、另外，有些网卡还要在其属性中进行另外设置：
系统重新启动后，单击[开始]-][控制面板]，然后选择[系统]。
在“系统属性”窗口中，选择[硬件] 标签，然后单击[设备管理器]。
在“设备管理器”窗口中，单击[网络适配器] 旁边的加号+，然后双击[marvell yukon 88e8036/8053 pci-e fast ethernet controller]。
选择[高级] 标签，然后选择[wake from shut down] 属性。
在“值”列表中选择[开]，然后单击[确定] 以关闭对话框。
跨网段远程唤醒：
由
于跨网段要经过交换机或路由器，而它们是不允许广播的，所有些网友回答用 ip help address 原理么类似跨网段的DHCP，或者IP
DIRECTED BROADCAST 和 IP FORWARD PROTOCOL 需要ENABLE等。可是使用后发现还是不行，后来见到一文章：
************************************************************
远程开机，现在有两种方法，本地同一广播域内开机，远程过路由开机。
先谈谈本地开机。

要打开mac地址是00-0E-7F-7B-BD-32这台主机，发起pc发出一个广播。通过sniffer的ip包。可以看到目的MAC地址是FF-
FF-FF-FF-FF-FF，这是一个广播，再看目的ip地址，192.168.200.255，是ip广播，向下看，数据包是UDP，目的端口是
2304，源端口不必理会。

那么说，发一个广播，只要端口是2304就可以开机吗？显然不是，开机是有针对性的，不是发一个这样的广播，所有的机器都开机。关键就在那个数据里面。
看一下这个126字节的数据到底有什么，最初的6个子字节是全F，7到12字节就是要开机的MAC地址，然后循环出现，直到填充到126个字节为止。这才
是确定开那一台机器的关键。
总结一下，要开机就必须让被开的机器，收到端口为2304的udp数据包，包的内容包含了被开机的MAC地址。但是没有开机的机器没有办法设定ip地址，怎么才能让其收到，于是广播就是最好的方式了。
那么远程过路由开机怎么办，又不能进行广播。
通过抓包可以发现，目的mac地址变成了网关的，目的ip地址变成了那台机器设定的静态ip，其它数据没有变化。那么这样可以开机吗？前面不是说过了，没有开机的机器是无法设定ip的，它如何才能把这个数据送到该网卡呢。

这里就牵扯到一些路由器，交换机，hub的一些原理。hub是把所有的数据都发送到所有端口（物理），所以效率不高；交换机呢，是根据已经注册的mac
地址和端口（物理）的对应关系转发，那么没有开机的情况下，当然也没有注册mac地址了，但是交换机在对待没有注册的mac地址的时候，会把这个数据包发
往所有的端口（物理），这样也没问题了。那么作为远程的关键导入点的路由器，是工作在3层，它要查找ip地址和mac的对应关系，就用arp协议，我们知
道如果这台机器是down状态下，是不会应答arp广播的，那么这样说来无法开机了？结果却出人意料，机器却开机了，为什么？
分
析一下，进入路由器，察看arp
table，竟然有ip地址和mac的对应，稍作思考就明白，原来这台测试用的电脑刚刚做完开机测试，刚关机，开机的时候，即使我们什么都不
做，windows机器也会去找微软的服务器的，这已经不是秘密，那么它必然找过网关，所以网关当然就知道了这个ip和mac的对应关系，根本就不用
arp查找，直接就发出数据，机器接收到也就能开机了。为了证实这个想法，把路由器内的对应关系删除，果然不能开机了。
远程开机不能只开刚刚关闭的机器吧，症结就在ip和mac的关系上，那么绑定对应关系，问题迎刃而解。
************************************************************
于是在交换机中加入IP与MAC地址的绑定命令：arp 192.168.1.2 0011.e4e5.2489 arpa
然后用AMD的开机软件测试，在IP地址中输入192.168.1.2，在MAC地址中输入0011.e4e5.2489 ，OK成功。

‘肆’ 软件测试JIRA中这几个缺陷的解决状态是什么意思

fixed : 已修复 （需要你验证)
Won't fix: 不修复 （项目经理认为本阶段或者实际上不用修复)
Duplicate : 重复的BUG （相似BUG你已经在之前提出过了)
Incomplete : 不完整的bug (描叙不清楚，开发人员无法重现或者不懂你的意思)
Can't Reproce : 无法重现的BUG
Invalid: 无效的BUG （意思是这个BUG并不存在或者没有这个模块了）
Remind: 提醒（意思是只是一个提醒，要修复，可以暂时不解决，稍后解决）

‘伍’ 运维工程师需要掌握什么技能

运维工程师需要掌握的技能：

1、首先是主机、网络及操作系统基本知识。在出现问题时，懂得在各个网络位置抓包，来确认故障设备或线路，会使用Linux的tcpmp抓包或者ethreal、sniffer、Wireshark等抓包软件，会在网络设备上配置镜像，将关心的流量抓出来进行分析。

2、懂开发，能实现自动化运维。比如使用Shell、Python、Perl等脚本语言做一些自动化运行脚本、诊断故障的脚本，使用这些脚本可以提升工作效率，将重复性的简单工作交给脚本程序处理，也可以通过这些脚本判断故障发生的位置和原因，高效的运维将不再需要人工去逐个字符地去输入各种命令。

3、未来云计算与大数据势必成为整个互联网行业的支撑。所有云计算运维工程师以及大数据工程师的作用就越来与明显，同时云计算以及大数据相关高端人才的需求量也会越来越大。

‘陆’ 08S/RF计价器乱码如何设置

将Python安装目录下的C:\Python27\Lib\site-packages\robot\utils\encodingsniffer.py中编码格式改为cp936



2、将Python安装目录下的C:\Python27\Lib\site-packages\robotide\lib\robot\utils\encodingsniffer.py中编码格式改为cp936



3、将Python安装目录下的C:\Python27\Lib\site-packages\robot\utils\unic.py文件

引入json库：import json

将下面代码复制到如图位置，注意对齐方式：

if isinstance(item, (list, dict, tuple)): try: item = json.mps(item,ensure_ascii=False, encoding='cp936') except UnicodeDecodeError: try: item =json.mps(item, ensure_ascii=False, encoding='cp936') except: pass except:pass

‘柒’ Python中scapy和socket性能优化的问题

我想不出还有什么更好解决办法了。期待高手解答。

‘捌’ 电脑病毒是什么东西

瑞星病毒疫情监测网 > 帮助

计算机通用病毒定义及命名规范详解

病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。

主行为类型与病毒子行为类型

病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。

病毒主行为类型有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：

主行为类型 子行为类型
Backdoor
危害级别：1
说明：
中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。

Worm
危害级别：2
说明：
中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail
危害级别：1
说明：通过邮件传播

IM
危害级别：2
说明：通过某个不明确的载体或多个明确的载体传播自己

MSN
危害级别：3
说明：通过MSN传播

QQ
危害级别：4
说明：通过OICQ传播

ICQ
危害级别：5
说明：通过ICQ传播

P2P
危害级别：6
说明：通过P2P软件传播

IRC
危害级别：7
说明：通过IRC传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan
危害级别：3
说明：
中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。
Spy
危害级别：1
说明：窃取用户信息（如：文件等）

PSW
危害级别：2
说明：具有窃取密码的行为

DL
危害级别：3
说明：下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
二、逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为: Trojan.DL

IMMSG
危害级别：4
说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG
危害级别：5
说明：通过MSN传播即时消息

QQMSG
危害级别：6
说明：通过OICQ传播即时消息

ICQMSG
危害级别：7
说明：通过ICQ传播即时消息

UCMSG
危害级别：8
说明：通过UC传播即时消息

Proxy
危害级别：9
说明：将被感染的计算机作为代理服务器

Clicker
危害级别：10
说明：点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)

Dialer
危害级别：12
说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL
按照原来病毒名命名保留。

Notifier
按照原来病毒名命名保留。

Virus
危害级别：4
说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。

Harm
危害级别：5
说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。

Dropper
危害级别：6
说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。
一．Dropper判定条款:
没有可调出的任何界面，逻辑功能为:自释放文件加载或运行。

二．逻辑条件引发的事件:
事件1：.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2：释放的文件是病毒。
操作准则: 释放的文件是病毒，确定该文件为:Droper

Hack
危害级别：无
说明：中文名称—“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit
说明：漏洞探测攻击工具

DDoser
说明：拒绝服务攻击工具

Flooder
说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam
说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti
说明：免杀的黑客工具

Binder
危害级别：无
说明：捆绑病毒的工具

正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息,软件信息（注册表键值、安装目录）等。

宿主文件

宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。

JS 说明：JavaScript脚本文件
VBS 说明：VBScript脚本文件
HTML 说明：HTML文件
Java 说明：Java的Class文件
COM 说明：Dos下的Com文件
EXE 说明：Dos下的Exe文件
Boot 说明：硬盘或软盘引导区
Word 说明：MS公司的Word文件
Excel 说明：MS公司的Excel文件
PE 说明：PE文件
WinREG 说明：注册表文件
Ruby 说明：一种脚本
Python 说明：一种脚本
BAT 说明：BAT脚本文件
IRC 说明：IRC脚本

主名称

病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Small”。

版本信息

版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端
KEY_HOOK 说明：用于挂接键盘的模块
API_HOOK 说明：用于挂接API的模块
Install 说明：用于安装病毒的模块
Dll 说明：文件为动态库，并且包含多种功能
（空） 说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为小写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。

‘玖’ python 判断是否ping通

通过mac查ip
方法一：用ARP -A 查询
这种方法只能查到与本机通讯过（20分钟内）的主机MAC地址和IP地址。可在远程主机所属网段中的任一台主机上运行此命令，这样可查出IP欺骗类病毒的主机。
方法二：用专用软件查，如nbtscan
命令方式是：nbtscan -r 网络号/掩码位，这种方法可查询某网段的所有IP与MAC对应关系，但装有防火墙的主机则禁止查询。
方法三： 如果所连交换机有网管功能，可用ARP SHOW 命令显示交换机的arp缓存信息，这种方式基本可查询所有的IP 与MAC地址，但只有网管才有这个权限。
方法四：用sniffer类的嗅探软件抓包分析，packet中一般都含用IP地址与MAC地址。
方法五：用solarwinds类软件中的MAC ADDRESS DISCOVERY查询，但这个工具好象不能跨网段查询。