Cho một địa chỉ IP, bạn sẽ có thể tìm thấy địa chỉ MAC của máy chủ tương ứng.
arp -a
Trên cả Windows và Linux sẽ hiển thị cho bạn bộ đệm arp của máy chủ đó, ánh xạ IP tới địa chỉ MAC. (Lưu ý rằng điều này sẽ cần phải được chạy trên một máy có cùng mạng con IP với máy bạn đang cố gắng tìm).
Khi bạn có địa chỉ MAC, hãy đăng nhập vào công tắc mà bạn nghi ngờ máy chủ lừa đảo được kết nối và tìm kiếm bảng địa chỉ MAC cho địa chỉ đó. (Bảng địa chỉ MAC cũng được gọi là bảng bắc cầu hoặc bảng CAM).
Ví dụ: trên các thiết bị chuyển mạch dựa trên Cisco IOS, lệnh sau:
show mac-address-table address <MAC address>
Sẽ cho bạn thấy cổng mà một địa chỉ MAC đã cho được nhìn thấy lần cuối. Nếu cổng kết quả là một liên kết đến một công tắc khác, hãy đăng nhập vào công tắc đó và chạy lại lệnh. Lặp lại cho đến khi bạn kết thúc với một cổng máy chủ và bạn sẽ có thủ phạm.
Lưu ý rằng phương pháp này sẽ chỉ hoạt động nếu bạn có một công tắc được quản lý cho phép bảng địa chỉ MAC của nó được truy vấn. Không, đó sẽ là một trường hợp loại bỏ thủ công; tìm từng cổng mà bạn biết không phải là máy lừa đảo, cho đến khi bạn còn lại một cổng mà bạn không thể tính đến. Chúc may mắn.