网络抓包工具，能不能抓不同网段的包来分析目标主机的mac 地址

目标主机位置看：

1目标主机在交换机上，分为一下几种情况：

1做端口镜像：不管是否在同一vlan下都能抓到

2不做端口镜像（本地抓包）：

1在同一vlan下，并且和目标主机有通信，那么在本地主机上可以抓到

2在不同vlan下，并且和目标主机有通信，那么这台交换机是三层设备

做过vlan间路由，那么无法抓到目标主机的mac地址，你抓到的包里

的mac地址是交换机的地址。

2目标主机不在交换机上，而在远端：无法抓到目标mac地址。抓到的包里的mac地址

是网关地址。

原理：不同网段的主机通信是要通过三层设备通信的（路由器或者三层交换机），这时候

数据包从一个网段到另一个网段会改写二层mac地址，这个地址变成网关的mac地址。

总结：在不同网段下，端口镜像这种方法可以抓到。

如果有其他的方法，还请完善，本人也在学习中，上述只是实际中的总结。

大家知道扫描局域网客户机的IP地址和MAC地址列表的方法/步骤有哪些吗其实最简单的甚至可以用一条命令就能实现。下面是我为你整理相关的内容，希望大家喜欢!

一条命令扫描局域网内所有的IP及MAC 具体 *** 作方法：

1、下载nbtscanrar到硬盘后解压;

2、然后将cygwin1dll和nbtscanexe两文件拷贝到c:\windows\system32下; 3、进入cmd窗口就可以输入命令：nbtscan 19216811/24(假设本机的IP为:1921681X)。

ARP欺骗攻击解决方法

故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象(无法ping通网关)，重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

故障原因：这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由ARP木马攻击。病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

临时处理对策：

步骤一、在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp –a。

步骤二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC

例如：假设计算机所处网段的网关为218197192254，本机地址为2181971921在计算机上运行arp –a后输出如下：

C:\Documents and Settings>arp -aInterface: 2181971921 --- 0x2Internet Address Physical Address Type218197192254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218197192254对应的MAC地址，类型是动态(dynamic)的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为：

arp –s 218197192254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存：

C:\Documents and Settings>arp -aInterface: 2181971921 --- 0x2Internet Address Physical Address Type218197192254 00-01-02-03-04-05 static

这时，类型变为静态(static)，就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

找出病毒计算机的方法：

如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。 解决措施

NBTSCAN的使用方法：

下载nbtscanrar到硬盘后解压，然后将cygwin1dll和nbtscanexe两文件拷贝到c:\windows \system32(或system)下，进入MSDOS窗口就可以输入命令：nbtscan -r

2181971920/24 (假设本机所处的网段是218197192，掩码是2552552550;实际使用该命令时，应将斜体字部分改为正确的网段)。

注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。

扫描局域网客户机的IP地址和MAC地址列表的方法/步骤

在WFilter的”扩展插件“中点击”下载“，然后安装”局域网扫描“插件。我们主要就是要用该插件获取IP和MAC地址列表。

运行该插件，选择“本地网络”，这个选项只能扫描同网段设备。如果要跨网段扫描IP地址和MAC地址，请选择“IP范围”。

扫描出来的结果，可以看到IP地址和MAC地址列表，以及厂商和机器名等信息。点击“导出”，就可以导出一份详细的列表信息啦。是不是很方便呢

在WFilter的”扩展插件“中点击”下载“，然后安装”局域网扫描“插件。我们主要就是要用该插件获取IP和MAC地址列表。

运行该插件，选择“本地网络”，这个选项只能扫描同网段设备。如果要跨网段扫描IP地址和MAC地址，请选择“IP范围”。

扫描出来的结果，可以看到IP地址和MAC地址列表，以及厂商和机器名等信息。点击“导出”，就可以导出一份详细的列表信息啦。是不是很方便呢

如果要进行端口扫描，可以点击每行后面的扫描图标。

获取多网卡的IP地址和对应的MAC地址的具体方法如下：

1、 同时按下键盘的 windows键（四个小方框的键）+R键，打开运行窗口，输入cmd点击 确定 ；

2、 在打开的黑色窗口中输入 ping 192168199153， 按回车键；

3、 在命令行中输入 arp -a 后，按回车键，在列出的内容中会看到 192168199153 后对应的mac物理地址。

一个帐号只能一个机器上用,那是把 ip 和 mac 地址绑定了这个是在服务器端由网管 *** 作的其实跟系统没有关系,只要解除绑定就可以了或者在自己机器上更改一下mac地址!一般MAC地址在网卡中是固定的，当然也有网络高手会想办法去修改自己的MAC地址。修改自己的MAC地址有两种方法，一种是硬件修改，另外一种是软件修改。硬件的方法就是直接对网卡进行 *** 作，修改保存在网卡的EPROM里面的MAC地址，通过网卡生产厂家提供的修改程序可以更改存储器里的地址。那么什么叫做EPROM呢？EPROM是电子学中一种存储器的专业术语，它是可擦写的，也就是说一张白纸你用钢笔写了一遍以后就不能再用橡皮擦去了，而EPROM这张白纸用铅笔写后可以再擦去，可以反复改变其中数据的存储器。当然软件修改的方法就相对来说要简单得多了，在Windows中，网卡的MAC保存在注册表中，实际使用也是从注册表中提取的，所以只要修改注册表就可以改变MAC。Windows 9x中修改：打开注册表编辑器，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetService\Class\Net\下的0000，0001，0002。

(但是,我担心不好用,你可以试一下,下面是mac地址一些知识以及如何更改)

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。

MAC地址的作用

IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还是不够的，就拿人类社会与网络进行类比，通过类比，我们就可以发现其中的类浦�Γ��玫乩斫釳AC地址的作用。

无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（Address Resolution Protocol：地址解析协议）负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的，试想在人际关系网络中，甲要捎个口信给丁，就会通过乙和丙中转一下，最后由丙 转告给丁。在网络中，这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址，这个过程就好比是人类社会的口信传送过程。相信通过这两个例子，我们就可以进一步理解MAC地址的作用。

与MAC地址相关的命令与软件

在人类社会社交中，我们认识一个人往往只会知道他的姓名，而身份z号码在一般的人际交往中会被忽略。同样在网络中，我们往往只会知道同事或者网友的IP地址，并不会去过多地关心对方的MAC地址。要成长为网络高手，我们可以使用一些方法去了解对方的MAC地址。在这里介绍两种常用的方法，在Windows 9x 中可用WinIPcfg获得，在Windows 2000/XP中可用IPconfig -all获得。

使用命令只能单条获得MAC地址，而且使用起来也是很麻烦的。对于网管人员，更希望有一款简单化 *** 作的软件，我们可以利用“MAC扫描器”远程批量获取MAC地址。它是用于批量获取远程计算机网卡物理地址的一款网络管理软件。该软件运行于网络(局域网、Internet都可以)内的一台机器上，即可监控整个网络的连接情况，实时检测各用户的IP、MAC、主机名、用户名等并记录以供查询，可以由用户自己加以备注；能进行跨网段扫描，能和数据库中得IP和MAC地址进行比较，有修改IP的或使用虚假MAC地址的，都能报警。

更改MAC地址

一般MAC地址在网卡中是固定的，当然也有网络高手会想办法去修改自己的MAC地址。修改自己的MAC地址有两种方法，一种是硬件修改，另外一种是软件修改。

硬件的方法就是直接对网卡进行 *** 作，修改保存在网卡的EPROM里面的MAC地址，通过网卡生产厂家提供的修改程序可以更改存储器里的地址。那么什么叫做EPROM呢？EPROM是电子学中一种存储器的专业术语，它是可擦写的，也就是说一张白纸你用钢笔写了一遍以后就不能再用橡皮擦去了，而EPROM这张白纸用铅笔写后可以再擦去，可以反复改变其中数据的存储器。

当然软件修改的方法就相对来说要简单得多了，在Windows中，网卡的MAC保存在注册表中，实际使用也是从注册表中提取的，所以只要修改注册表就可以改变MAC。Windows 9x中修改：打开注册表编辑器，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Service\Class\Net\下的0000，0001，0002。

Windows 2000/XP中的修改：同样打开注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

Class\4D36E970-E325-11CE-BFC1-08002BE10318 中的0000，0001，0002中的DriverDesc，如果在0000找到，就在0000下面添加字符串变量，命名为“NetworkAddress”，值为要设置的MAC地址，例如：000102030405

完成上述 *** 作后重启就好了。一般网卡发出的包的源MAC地址并不是网卡本身写上去的，而是应用程序提供的，只是在通常的实现中，应用程序先从网卡上得到MAC地址，每次发送的时候都用这个MAC作为源MAC而已，而注册表中的MAC地址是在Windows安装的时候从网卡中读入的，只要你的 *** 作系统不重新安装应该问题不大。

MAC地址的应用

平日身份z的作用并不是很大，但是到了有的关键时刻，身份z就是用来证明你的身份的。比如你要去银行提取现金，这时就要用到身份z。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份z去做重要事情一样的道理。有的时候，我们为了防止IP地址被盗用，就通过简单的交换机端口绑定（端口的MAC表使用静态表项），可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用，如果是三层设备还可以提供：交换机端口/IP/MAC 三者的绑定，防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的，是网管人员才能接触到的，对于一般电脑用户来说只要了解了绑定的作用就行了。比如你在校园网中把自己的笔记本电脑换到另外一个宿舍就无法上网了，这个就是因为MAC地址与IP地址（端口）绑定引起的。

MAC地址涉及到的安全问题

从上面的介绍可以知道，这种标识方式只是MAC地址基于的，如果有人能够更改MAC地址，就可以盗用IP免费上网了，目前网上针对小区宽带的盗用MAC地址免费上网方式就是基于此这种思路。如果想盗用别人的IP地址，除了IP地址还要知道对应的MAC地址。举个例子，获得局域网内某台主机的MAC地址，比如想得到局域网内名为TARGET主机的MAC地址，先用PING命令：PING TARGET，这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过ARP A命令来查询ARP表，这样就得到了指定主机的MAC地址。最后用ARP -s IP 网卡MAC地址，命令把网关的IP地址和它的MAC地址映射起来就可以了。

如果要得到其它网段内的MAC地址，那么可以用工具软件来实现，我觉得Windows优化大师中自带的工具不错，点击“系统性能优化”→“系统安全优化”→“附加工具”→“集群Ping”，可以成批的扫出MAC地址并可以保存到文件。

小知识：ARP(Address Resolution Protocol)是地址解析协议，ARP是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP协议是通过IP地址来获得MAC地址的。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP表：为了回忆通信的速度，最近常用的MAC地址与IP的转换不用依靠交换机来进行，而是在本机上建立一个用来记录常用主机IP－MAC映射表，即ARP表。

如何解决MAC地址带来的安全问题

我们可以将IP地址和MAC地址捆绑起来来解决这个问题。进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP -s 10885672 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的情况，可以有效保证小区网络的安全和用户的应用。

注意：ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。

不过，只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。作为一个网络供应商，他们有责任为用户解决好这些问题之的后，才交给用户使用，而不是把安全问题交给用户来解决。不应该让用户来承担一些不必要盗用的损失。

作为网络供应商，最常用也是最有效的解决方法就是在IP、MAC绑定的基础上，再把端口绑定进去，即IP－MAC－PORT三者绑定在一起，端口（PORT）指的是交换机的端口。这就需要在布线时候做好端口定时管理工作。在布线时应该把用户墙上的接线盒和交换机的端口一一对应，并做好登记工作，然后把用户交上来的MAC地址填入对应的交换机端口，进而再和IP一起绑定，达到IP－MAC－PORT的三者绑定。这样一来，即使盗用者拥有这个IP对应的MAC地址，但是它不可能同样拥有墙上的端口，因此，从物理通道上隔离了盗用者。

参考资料：

>

以上就是关于网络抓包工具，能不能抓不同网段的包来分析目标主机的mac 地址全部的内容，包括:网络抓包工具，能不能抓不同网段的包来分析目标主机的mac 地址、一条命令扫描局域网内所有的IP及MAC *** 作教程、◆如何获取多网卡的IP地址和对应的MAC地址◆等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！