1.先查看他是否在線上, 利用ping或看firewall log的方式
2.查出它的MAC值, arp -a xxx.xxx.xxx.xxx 或其它方式
3.查看此一MAC是從那個網路端點出來的(查看你的網路設備手冊)
4.如果項次3.無法執行, 也可以用土法煉鋼的方式, 使用ping -t xxx.xxx.xxx.xxx持續連線, 然後逐一拔出實體線路, 如果在其中某線路拔出時, 出現ping timeout的情形, 兇手就在那裏啦.

如果你可以確認會偷接那個人的作業系統是windows的話
那或許有個簡單的方式可以得知

利用「ping」這個指令
當你去ping對方的電腦時
它會回傳 --> Reply from 192.168.10.x: bytes=32 time<1ms TTL=128
重點在TTL的值
xp的作業系統所回傳的會是128，有時會在100~130之間
如果他是用UNIX/Linux系列的系統，所回傳的值在240-255之間
router的好像是32還是64，有點給他忘了
反正會不一樣
當然這是可以改變的
不過還是提供給你做參考

如果有使用網管型的SWITCH話
可以在SWITCH上設定SWITCH port的MAC TABLE
先查出client端的網卡MAC
只開放那些MAC允許存取網路
可以有效防止user亂接其他設備
缺點是管理及維護對mis來說有點累

如果是小公司可以用 mac address filter 來防止非法的 網路設備. 但是如果是大公司可能就會變成粉麻煩. 你可以用用看 nmap 來掃描公司內部的網路. nmap 可以提供有哪設備的 port 有開, 像是 http (router 會使用到) nmap 還可以使用 fingerprint 來顯示那個網路設備是哪間公司. 如果公司內有資安工程師建議先通知一下 nmap 比較屬於駭客的軟體, 比較好的防火牆軟體都會有紀錄..

=D=

我會推薦 3Com Network Supervisor 這個軟體，在公司電腦全開尖峰時間掃一次，它會自動建構一張網路圖起來，如果 Switch 是具有網管功能的會更準，否則可以給你個方向，知道哪邊怎麼會多出個設備出來。

http://img92.imageshack.us/img92/6640/mapyv8.jpg

我只取圖的部份，週邊其實還有很多硬體的資訊，不便貼出。放射狀綠圓點是有網管的 switch，灰色方塊是一般 switch。