etherpeek過濾ip地址

㈠ 被ARP攻擊怎麼解決

很明顯，你受到ARP攻擊了！

如果你有興趣和時間，你可以先研究一下ARP的原理，最好在看看交換機轉發幀的原理！

你就明白ARP攻擊（MAC地址攻擊）分為以下三種：
1-給目標主機發送偽造ARP應答包（這個可以通過裝ARP防火牆，或靜態綁定防禦，很簡單，也就是「186185」說的辦法）
2-主動發偽造的ARP包給網關，造成網關無法正確返回數據包（在網關綁定IP-MAC可以防禦）
3-發送偽造源MAC，冒充目標主機，造成交換機MAC地址表混亂，到達攻擊目標主機的目的（這個目前最難防禦，因為一般家用的交換機都不支持網管）

如果你遇到用第3種攻擊方式的軟體，而恰好你那的交換機沒網管功能，那很遺憾，沒什麼太好的辦法！

我也深受其害，但還有最後一招，這個辦法算是無奈中的最佳辦法了！！
推薦你使用這個軟體：WildPackets EtherPeek NX，以毒攻毒，你也發送大量無用的數據包，來不斷的更新交換機MAC地址表，只要能比攻擊者有更高的發包頻率，就能使交換機能正確轉發大部分數據幀！

㈡ 我想時時監視區域網 或者幾台伺服器的埠狀態，有這樣的免費檢測軟體嗎

IP Net Checker 是一個網路監控軟體，使您可以檢查互聯網和區域網上的IP主機的網路狀態 。檢查用戶指定的計算機上的TCP埠或HTTP （工作站，伺服器等）或其他網路設備（路由器） 。

EtherPeek WildPackets的EtherPeek是一套網路協定分析儀。EtherPeek最令人熟知的是友善的圖形化介面，它提供了非常詳盡的網路上詳細的資訊，包含了各節點的溝通狀況及封包內容等。進而可使用EtherPeek找出網路的問題，執行精密的診斷測試，監視網路的流量及事件，追蹤非法的網路活動，對網路的硬體及軟體進行除錯等。

RedEyes是一個功能強大的主機和網路監控，連接到區域網或互聯網（工作站，伺服器，路由器等）的主機與IP地址，以及這些設備上運行的服務工作，與TCP和警報的性能和可用性測試設計在這些設備或服務失敗的情況下監控管理。使用協議TCP，UDP，HTTP和ICMP驗證設備的效率。在其上運行的服務（Web伺服器，郵件伺服器，代理伺服器，域控制器等），連接嘗試的執行情況進行TCP埠服務的效率。

D版的都免費！

㈢ EtherPeek NX 抓包怎麼都是這個ip啊 我想抓本地的怎麼設置呢

抓包可以試試QPA，它是基於進程抓包的，你想分析哪個進程就分析哪個進程，不會有其它IP的流量

㈣ 關於etherpeek的問題

給你一些入門的知識吧，先看看這個
http://www.netexpert.cn/archiver/tid-906.html
祝好運！

㈤ 關於網路中的ARP攻擊

這個好說 進路由器管理界面 一般是 http://192.168.0.1 或者http://192.168.1.1 用戶名admin 密碼是空 或者123456 或者 admin

進入後 看誰搗亂就 把誰踢下線

如果密碼不對 就只能麻煩房東 問呀 寬頻的 撥號的用戶密碼 把路由器的密碼重置了 重新設置ppoe撥號

㈥ 我用wireshark抓了IP數據包，有什麼辦法可以修改IP包頭中的源地址和目的地址用etherpeek能辦到么

wireshark並不具備修改能力，你可以使用winpcap的開發包讀取截包數據，然後改動，並使用winpcap發送出去，網路上有類似的代碼，比如生成arp攻擊之類的

㈦ 關於網路嗅探軟體

1、WireShark WireShark是一個開源免費的高性能網路協議分析軟體，它的前身就是非常著名的網路分析軟體Ethereal。你可以使用它來解決網路疑難問題，進行網路協議分析，以及作為軟體或通信協議的開發參考，同時也可以用來作為學習各種網路協議的教學工具等等。WireShark支持現在已經出現了絕大多數的乙太網網卡，以及主流的無線網卡。WireShark具有如下所示的特點：(1) 支持多種操作系統平台，可以運行於Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系統上;(2) 支持超過上千種的網路協議，並且還會不斷的增加對新協議的支持;(3) 支持實時捕捉，然後可在離線狀態下進行分析;(4) 支持對VOIP數據包進行分析;(5) 支持對通過IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2等協議加密了的數據包解密;(6) 可以實時獲取來自乙太網、IEEE 802.11、PPP/HDLC、ATM、藍牙、令牌環和FDDI(光纖)等網路中的數據包;(7) 支持讀取和分析許多其它網路嗅探軟體保存的文件格式，包括Tcpmp、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等軟體;(8) 支持以各種過濾條件進行捕捉，支持通過設置顯示過濾來顯示指定的內容，並能以不同的顏色來顯示過濾後的報文;(9) 具有網路報文數據統計功能;(10) 可以將它捕捉到的數據導出為XML、PostScript、CSV及普通文本文件的格式。運行WireShark所需的文件：現在WireShark的最終版本是1.0.5，我們可以到www.wireshark.org/download/上下載它。如果WireShark要在Windows系統下運行時，還需要一個名為Winpcap的驅動庫，現在它的穩定版本是WinPcap 4.0.2，最新的測試版本是WinPcap 4.1 beta3，我們可以從 http://www.winpcap.org上下載。如果是在Linux系統下使用時，就應當使用Libpcap驅動庫，它現在的版本是Libpcap1.0.0，我們可以從www.tcpmp.org上下載。2、Tcpmp和WinmpTcpmp是一個老牌的使用最頻繁的網路協議分析軟體之一，它是一個基於命令行的工具。Tcpmp通過使用基本的命令表達式，來過濾網路介面卡上要捕捉的流量。它支持現在已經出現了絕大多數的乙太網適配器。Tcpmp是一個工作在被動模式下的網路嗅探器。我們可以用它來在Linux系統下捕獲網路中進出某台主機介面卡中的數據包，或者整個網路段中的數據包，然後對這些捕獲到的網路協議(如TCP、ARP)數據包進行分析和輸出，來發現網路中正在發生的各種狀況。例如當出現網路連通性故障時，通過對TCP三次握手過程進行分析，可以得出問題出現在哪個步驟。而許多網路或安全專家，都喜歡用它來發現網路中是否存在ARP地址欺騙。我們也可以將它捕獲到的數據包先寫入到一個文件當中，然後用WireShark等有圖形界面的嗅探器讀取 它的命令格式為：tcpmp [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ][ -i 網路介面 ] [ -r 文件名][ -s snaplen] [ -T 類型 ] [ -w 文件名 ] [表達式 ]我們可以使用-i參數來指定要捕捉的網路介面卡，用-r來讀取已經存在的捕捉文件，用-w來將捕捉到的數據寫入到一個文件中。至於其它的參數，我們可以從它的man文檔中得到詳細的說明，或者通過輸入「tcpmp –-help」來到它的幫助信息。Tcpm有一個非常重要的特點就是可以使用正則表達式來作為過濾網路報文的條件，這使得它的使用變得非常靈活。我們可以通過它內建的各種關鍵字來指定想要過濾的條件，一旦一個網路數據包滿足表達式的條件，則這個數據包就會被捕獲。如果我們沒有給出任何條件，那麼所有通過指定網路介面卡中的網路報文都會被捕獲。 Tcpmp使用以下三種類型的關鍵字：(1)、用於表式類型的關鍵字，主要有Host、Net和Port。它們分別用來指定主機的IP地址、指定網路地址和指定埠。如果你沒有指定關鍵字，它就會使用預設的Host類型。(2)、用於表式傳輸方向的關鍵字，主要有Src、Dst。分別用來指定要捕捉的源IP地址是什麼或目的IP地址是什麼的包。(3)、用來表式捕捉什麼協議的關鍵字，主要有ip，arp，tcp，udp等。這些關鍵字之間可以使用邏輯運算關鍵字來連接，以便於我們指定某個范圍或排除某個主機等。這些邏輯運算關鍵字也有三個，分別是取非運算「not」，或者可以用「!」符號表示;與運算「and」，可以用「&&」 符號表示;或運算「or」，可以用「||」符號表示。Tcpmp的關鍵字還有很多，我就不在此全部列出。其它的可以通過它的幫助文檔來得到它們的詳細說明。運行Tcpmp需要的文件：Tcpmp可以很好地運行在UNIX、Linux和Mac OSX操作系統上，它現在的最新版本是TCPDUMP 4.0.0，我們可以從www.tcpmp.org上下載它的二進制包。同時，要運行它，也需要系統中安裝有Libpcap1.0.0這個驅動庫。 3、 DSniffDSniff是一個非常強大的網路嗅探軟體套件，它是最先將傳統的被動嗅探方式向主動方式改進的網路嗅探軟體之一。DSniff軟體套件中包含了許多具有特殊功能的網路嗅探軟體，這些特殊的網路嗅探軟體可以使用一系列的主動攻擊方法，將網路流量重新定向到網路嗅探器主機，使得網路嗅探器有機會捕獲到網路中某台主機或整個網路的流量。這樣一來，我們就可以將DSniff在交換或路由的網路環境中，以及Cable modem拔號上網的環境中使用。甚至，當安裝有DSniff的網路嗅探器不直接連接到目標網路當中，它依然可以通過運程的方式捕獲到目標網路中的網路報文。DSniff支持Telnet 、Ftp、Smtp、P0P3、HTTP，以及其它的一些高層網路應用協議。它的套件當中，有一些網路嗅探軟體具有特殊的竊取密碼的方法，可以用來支持對SSL和SSH加密了的數據進行捕獲和解密。DSniff支持現在已經出現了的絕大多數的乙太網網卡。 4、 EttercapEttercap也是一個高級網路嗅探軟體，它可以在使用交換機的網路環境中使用。Ettercap能夠對大多數的網路協議數據包進行解碼，不論這個數據包是不是加密過了的。它也支持現在已經出現了的絕大多數乙太網網卡。Ettercap還擁有一些獨特的方法，用來捕獲主機或整個網路的流量，並對這些流量進行相應的分析 5、NetStumblerNetStumbler是一個用來尋找使用IEEE802.11a/b/g標準的無線區域網工具。它支持 包括PCMCIA 無線適配器在內的絕大多數主流無線適配器，同時，還加入了對全球 GPS 衛星定位系統的支持

㈧ EtherPeek NX 沒有網卡，怎麼破

在按照目錄找到peek.exe 右鍵-屬性-兼容性-勾選以兼容模式運行這個程序-確定
此時如果安裝安全衛士，會提示載入驅動，選擇同意即可

㈨ etherpeek nx 使用

朋友：
是我眼睛不好使還是你腦子不好使呀，你把Cisco技術想的太簡單了，你自己找找去「EtherPeek NX」能在網上有使用教學嗎？就連評論都只是概括的，除了教材以外不可能有詳細理論或使用類文章，這可不像什麼小軟體那樣，幾片紙就能說清楚的，你確實是新手，作為想幫助你的人，我不應該說你，但是確實沒有，我倒是有那方面教材，但是要弄成電子版，那是不可能的。

希望你理解，別說「我是說怎麼使用 你眼睛不好使啊」這樣的話。
你給不給分數沒關系

劉成瑋 摘自於鴻遠網路

摘要：該文分析了EtherPeek NX的工作原理，主要利用EtherPeek NX的數據包截取和分析功能來對NetRobocop（網路執法官）數據包的分析，了解區域網和NetRobocop的基本原理，從而更好地維護網路的安全和暢通。
關鍵字：EtherPeek NX ，NetRobocop ，ARP欺騙
一、前言
隨著計算機網路技術的發展，特別是INTERNET的廣泛使用，網路也被各行各業所廣泛應用。網路的使用給人們的日常工作和生活帶來了很大的好處，然後網路的結構越來越復雜，規模越來越大，另外在網路上也存在著各種網路不安全的因素存在，對於這樣的情況，網路管理人員必定要藉助各種網路分析工具來實現網路的管理和維護。其中網路監聽在協助網路管理員監測網路傳輸數據，排除網路故障等方面具有不可替代的作用，因而一直倍受網路管理員的青睞。

二、EtherPeek NX簡介
網路監聽也就是我們經常聽到的網路嗅探（Sniffer），它是利用計算機的網路介面截獲目的地為其他計算機的數據報文的一種工具。Sniffer的工具有很多，其中WildPackets 公司的EtherPeek NX是比較常用也是功能比較強的一種。在2003年度的CMP Media's Network Magazine上WildPackets公司的EtherPeek NX v2.0和RMONGrabber被評為最佳產品。
EtherPeek NX軟體評估及分析整個OSI七層的架構。解析每個封包及即時的監視網路的各種狀態，包含各個網路結點及網路架構的問題。問題的自動識別能對其發生的問題提供說明及解決方案，並可以追蹤36種以上的網路狀況，及提供Latency及Throughput解析。還能將網路上的所有結點溝通的狀態以圖形的方式完全顯示出來。它的顯示方式讓管理者能非常容易的了解網路目前的狀況。

三、區域網工作原理

現在的區域網以IEEE802.3的乙太網為主流，乙太網和TCP/IP可以說兩者的關系幾乎是密不可分。TCP/IP是一個協議族，以TCP（傳輸控制協議）和IP（網際網路協議）為主，還包括了很多其他的協議，下面是TCP/IP中的各種常用協議以及它們和OSI參考模型的對照。

SMTP

DNS
HTTP
FTP
TELNET

TCP
UDP

IP
ICMP
ARP
RARP

IEEE 802 乙太網 SLIP/PPP PDN 等

網卡、電纜、雙絞線等

圖1 TCP/IP的網路體系結構

應用層
傳輸層
網路層
數據鏈路層
物理層

從上面的圖中我們可以看出，第一層物理層和第二層數據鏈路層是TCP/IP的基礎，而TCP/IP本身並不十分關心低層，因為處在數據鏈路層的網路設備驅動程序將上層的協議和實際的物理介面隔離開來。網路設備驅動程序位於數據鏈路層的介質訪問子層(MAC)。

TCP/IP使用32位的IP地址，乙太網則使用48位的硬體地址，這個硬體地址也就是網卡的MAC地址，兩者間使用ARP和RARP協議進行相互轉換。
在每台連網的計算機上都保存著一份ARP緩存表，ARP緩存表中存放著和它連入的計算機的IP地址和MAC地址的對照表，每台計算機在和其他計算機連接時都會查詢本地的ARP緩存表，找到了對方的IP地址的MAC地址，那麼就會進行數據傳輸，目的地就是對方的MAC地址。如果這台計算機中沒有對方的ARP記錄，那麼它首先要廣播一次ARP請求，連網的計算機都能收到這個廣播信息，當對方的計算機接收到請求後就發送一個應答，應答中包含有對方的MAC地址，當前計算機接收到對方的應答，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。
因此，本地高速緩存的這個ARP表是本地網路流通的基礎，而且這個緩存是動態更新的。
乙太網採用廣播機制，所有與網路連接的工作站都可以看到網路上傳遞的數據。在正常的情況下，一個網路介面應該只響應這樣的兩種數據幀：
1. 與自己硬體地址相匹配的數據幀。
2. 發向所有機器的廣播數據幀。
數據的收發是由網卡來完成的，網卡接收到傳輸來的數據，網卡內的單片程序接收數據幀的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，認為該接收就接收後產生中斷信號通知CPU，認為不該接收就丟掉不管，所以不該接收的數據網卡就截斷了，計算機根本就不知道。CPU得到中斷信號產生中斷，操作系統就根據網卡的驅動程序設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據後放入信號堆棧讓操作系統處理。而對於網卡來說一般有四種接收模式：
廣播方式：該模式下的網卡能夠接收網路中的廣播信息。
組播方式：設置在該模式下的網卡能夠接收組播數據。
直接方式：在這種模式下，只有目的網卡才能接收該數據。
混雜方式：在這種模式下的網卡能夠接收一切通過它的數據，而不管該數據是否是傳給它的。
EtherPeek NX正是使用了網卡的混雜模式，讓網卡接收一切它所能接收的數據，這就是EtherPeek NX的基本工作原理。知道了它的工作原理我們就可以用它來進行網路數據包的截取和分析以及控制了。

四、EtherPeek NX對NetRobocop數據包的截取和分析
正因為EtherPeek NX能接收區域網中的所有數據，並能對數據進行分析，那麼我們可以利用它來進行網路上數據的分析和偵察，找出網路中非法數據，並對它作出有效的控制。下面就以網路工具軟體NetRobocop（網路執法官）為例來用EtherPeek NX對它的數據包進行分析。
NetRobocop這個軟體用於管理區域網，它可以獲取每個IP地址和MAC地址的對應表，也能反映網路用戶的連接狀況，可以限定各機器（包括計算機和指定了IP的網路設備）所用的IP、上網時段，以及阻止未經登記的計算機與網路連接，記錄與網路連接的各機器的上網時間。但是它一旦被人非法使用就會造成網路的混亂，而且NetRobocop這個工具軟體也沒有公布它的原理，用EtherPeek NX對它數據包的分析也能了解一下這個軟體的原理。
以下使用了區域網中三台計算機，分別是：
計算機A IP地址192.168.11.1 MAC地址 00-e0-4c-3c-0f-14
計算機B IP地址192.168.11.2 MAC地址 00-e0-4c-02-88-24
計算機C IP地址192.168.11.3 MAC地址 00-e0-4c-3c-05-20
其中在計算機C上安裝了NetRobocop軟體和EtherPeek NX軟體。
在沒有運行NetRobocop的正常網路情況下，我們查詢計算機A和B的ARP緩存表如下：
計算機A上 C:\WINDOWS\Desktop>arp -a
Interface: 192.168.11.1 on Interface 0x1000002
Internet Address Physical Address Type
192.168.11.2 00-e0-4c-3b-f0-46 dynamic
192.168.11.3 00-e0-4c-3c-05-20 dynamic
計算機B上 C:\WINDOWS\Desktop>arp -a
Interface: 192.168.11.2 on Interface 0x1000002
Internet Address Physical Address Type
192.168.11.1 00-e0-4c-3c-0f-14 dynamic
192.168.11.3 00-e0-4c-3c-05-20 dynamic
在運行了NetRobocop後，它會列出所有設定IP地址網段內連網的計算機，顯示了包括該計算機的IP地址、MAC地址、計算機名字、上線時間及網卡型號等信息。在沒有對其他用戶限制許可權時，通過EtherPeek NX的Capture功能獲取數據進行分析可以看到，NetRobocop是通過不停的向網路上發送某個網段內的所有IP地址的ARP請求數據，詢問對方計算機的MAC地址，每台計算機在收到這個ARP請求數據後就返回一個ARP響應數據，返回給發送方自己的MAC地址，對這個正常的ARP響應數據分析顯示它的信息如下（計算機B發送給計算機C的ARP響應）：
Flags: 0x00
Status: 0x00
Packet Length:64 / 數據包長度
Timestamp: 11:04:07.168000 09/25/2003

Ethernet Header

Destination: 00:E0:4C:3C:05:20 / 目標MAC地址
Source: 00:E0:4C:3B:F0:46 / 源MAC地址
Protocol Type: 0x0806 IP ARP / 協議類型

ARP - Address Resolution Protocol

Hardware: 1 Ethernet (10Mb)
Protocol: 0x0800 IP
Hardware Address Length:6
Protocol Address Length:4
Operation: 2 ARP Response / ARP響應
Sender Hardware Address:00:E0:4C:3B:F0:46 / 發送方MAC地址
Sender Internet Address:192.168.11.2 / 發送方IP地址
Target Hardware Address:00:E0:4C:3C:05:20 / 接收方MAC地址
Target Internet Address:192.168.11.3 / 接收方IP地址

Extra bytes

Number of bytes:
................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
.. 00 00 / 填充數據

FCS - Frame Check Sequence

FCS (Calculated): 0xDEC47B2A / 校驗和
這時候的網路充滿了ARP請求數據和ARP響應數據，這些數據佔用了很大的網路帶寬，降低了網路的流量和利用率,不管你是通過Capture獲取數據的方式來分析或者利用EtherPeek NX的協議類型數據分析或者流量分析都可以看出。
接下來就進行NetRobocop的限制許可權功能，看看它到底是怎樣限制網路上用戶的連網的。在計算機C上對計算機B進行限制，禁止它和其它主機相連。這時候查看計算機A和計算機B的ARP緩存表可以看出來它把各自計算機的ARP緩存表中計算機A和計算機B的MAC地址（下面框出來的部分）給換掉了。
計算機A上 C:\WINDOWS\Desktop>arp -a
Interface: 192.168.11.1 on Interface 0x1000002
Internet Address Physical Address Type
192.168.11.2 00-e0-4c-02-88-24 dynamic
192.168.11.3 00-e0-4c-3c-05-20 dynamic
計算機B上 C:\WINDOWS\Desktop>arp -a
Interface: 192.168.11.2 on Interface 0x1000002
Internet Address Physical Address Type
192.168.11.1 00-e0-4c-05-77-76 dynamic
192.168.11.3 00-e0-4c-3c-05-20 dynamic
其實這就是一個ARP欺騙。這時候如果計算機B有發送到IP為192.168.11.1的計算機A的數據通過查找ARP緩存表就轉換成其它的MAC地址，數據到達計算機A後它通過對照MAC地址，發現不是自己的MAC地址就丟棄這個數據，計算機A就收不到計算機B發來的數據，也就是計算機B不能連通計算機A。但是計算機C為了還能控制計算機B，它不修改自己的MAC地址，保持著和計算機B的通信。
實現這個ARP欺騙的過程通過EtherPeek NX的數據截取和分析可以看出它採用的也是ARP響應數據。ARP協議並不只在發送了ARP請求數據才接收ARP響應數據。當計算機接收到ARP響應數據的時候，就會對本地的ARP緩存表進行更新，將ARP響應中的IP地址和MAC地址存儲在ARP緩存表中。
這個ARP欺騙的ARP響應數據其實就是計算機C借用了計算機A的IP地址向計算機B發送了一個隨機偽造的MAC地址，它的數據包如下：
Flags: 0x00
Status: 0x00
Packet Length:64
Timestamp: 11:04:08.318000 09/25/2003
Ethernet Header
Destination: 00:E0:4C:3B:F0:46
Source: 00:E0:4C:05:77:76 / 偽造的MAC地址
Protocol Type: 0x0806 IP ARP
ARP - Address Resolution Protocol
Hardware: 1 Ethernet (10Mb)
Protocol: 0x0800 IP
Hardware Address Length:6
Protocol Address Length:4
Operation: 2 ARP Response
Sender Hardware Address:00:E0:4C:05:77:76 / 偽造的MAC地址
Sender Internet Address:192.168.11.1 / 偽造的計算機A的IP地址
Target Hardware Address:00:E0:4C:3B:F0:46
Target Internet Address:192.168.11.2
Extra bytes
Number of bytes:
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20
FCS - Frame Check Sequence
FCS (Calculated): 0xC3277168
ARP緩存表是動態更新的，如果只發送一個這樣的帶ARP欺騙的ARP響應數據，在經過一段時候沒有通信後它就會從ARP緩存表中刪除，下次再有連接的話就再進行ARP請求和ARP響應，更新成正確的MAC地址。為了防止ARP緩存更新，NetRobocop在一直不停地給計算機B發送這個帶ARP欺騙的ARP響應數據。同時它也一直不停的向計算機A發送帶ARP欺騙的ARP響應數據，這樣就可以完全阻止計算機A和計算機B的雙方的通信。
如果發送方和接收方的IP地址一樣會怎樣呢？也就是我們經常見到的IP地址沖突警告，NetRobocop就是利用它來產生IP地址沖突的。計算機C發給計算機A的IP沖突的ARP響應數據如下：
Flags: 0x00
Status: 0x01
Packet Length:64
Timestamp: 11:06:29.841000 09/25/2003
Ethernet Header
Destination: 00:E0:4C:3C:0F:14
Source: 00:E0:4C:78:84:6B / 偽造的MAC地址
Protocol Type: 0x0806 IP ARP
ARP - Address Resolution Protocol
Hardware: 1 Ethernet (10Mb)
Protocol: 0x0800 IP
Hardware Address Length:6
Protocol Address Length:4
Operation: 2 ARP Response
Sender Hardware Address:00:E0:4C:78:84:6B / 偽造的MAC地址
Sender Internet Address:192.168.11.1 / 偽造的和接收方相同的IP地址
Target Hardware Address:00:E0:4C:3C:0F:14
Target Internet Address:192.168.11.1
Extra bytes
Number of bytes:
................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
.. 00 00
FCS - Frame Check Sequence
FCS (Calculated): 0xFE9194DA
這樣，計算機A在收到這個帶IP沖突的ARP響應數據後，網卡在檢測到發送方和接收方使用了相同的IP地址，就會產生一個IP地址沖突中斷，CPU接收中斷後就彈出一個警告窗口。這個帶IP沖突的ARP響應數據也是在一直不停地發送的，所以計算機A就一直收到這個IP沖突警告。

五、EtherPeek NX對NetRobocop的解決方法
通過對NetRobocop數據的截取和分析，了解了NetRobocop這個網路軟體的基本原理。一旦這個軟體被非法使用，某些用戶可能被非法限制許可權後就很難擺脫它的控制，而且它是利用網路的底層功能ARP欺騙來實現控制，沒有什麼現成的工具和軟體來阻止這種限制，除非它對你取消限制許可權才有可能正常連網使用。那我們對這種限制是否就束手無策了呢？答案當然是否定的，其實我們可以用NetRobocop的ARP欺騙原理來進行反擊，擺脫它的控制，保持網路的正常狀態。當然在這種情況下，網路上就會充滿了這些ARP的數據包，佔用很大的網路流量，影響正常的網路使用。使用的方法可以這樣來實現，因為一旦受到NetRobocop的限制，你已經沒辦法和其他計算機進行通信，但控制你的那台計算機還可以和你通信，我們就是利用它的這個線索找到控制你的計算機，通過EtherPeek NX的Capture功能就可以發現，找出它的IP地址和MAC地址，然後通過EtherPeek NX的發送數據功能給它也發送帶ARP欺騙的ARP響應數據，讓它斷開和其他計算機的連接，從而擺脫它的控制。

六、結束語
如EtherPeek NX和NetRobocop這些網路工具可以被網管人員用於加強安全性、加強網路的自由度，也可以被惡意用戶用於非法的網路活動。我們只要能分析了這些網路工具的原理，就能用這些工具來更好地維護網路的安全和暢通。