ก่อนอื่น ขอแนะนำโปรแกรม "http://www.wireshark.org" เป็นฟรีแวร์ครับ เข้าไปโหลดได้เลย


วิธีใช้งาน
เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา
เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface
ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น ให้กด start ตัวนั้นได้เลย
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ

การแปลผลลัพธ์

1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ในกรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา
เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน 

วิธีป้องกัน 
start -> run -> cmd
ใช้คำสั่ง arp -s , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut 
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
ถ้าโดน block ไปแล้วอย่าลืมสั่ง arp -d ก่อนน่ะครับ

2. Bit Torrentหลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ในส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า
เจ้านี่เป็น packet ของ bit แน่นอน

เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก 
จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน

ทุกข้อมูลที่ได้ ยกเครดิตให้ : CyberJiab, thinktong


ตัวอย่าง จากที่ผมลองใช้นะครับ
ค้นหา ip และ mac ของตัว rounter ใช้คำสั่ง arp -a
ถ้าในกรณีที่ยังไม่โดน NetCut จะขึ้นมาแค่บรรทัดเดียวครับ

Interface: 192.168.20.183 --- 0x2
Internet Address Physical Address Type
192.168.20.7 00-18-e2-79-52-4b static

<< ในส่วนของ type บางคนขึ้น "ไดดามิก" แต่พอดีผมล็อคแล้วมันเลยขึ้น "สตาติก" ครับ >>

ตามนี้เลยครับ
ให้ใช้สองตัวนี้ ในการใช้คำสั่ง
arp -s เช่น arp -s 192.168.20.7 00-18-e2-79-52-4b

วิธีนี้ใช้ได้ผลแน่นอนครับ เพราะผมก็ใช้ประจำ
การใช้วิธีนี้ เป็นการสั่งให้คอมพ์ของเรายึด ip,mac ของ rounter หอไว้ครับ
เข้าใจส่วนตัว : ทุกครั้งที่ใช้อินเตอร์เน็ต คอมพ์ของเราจะส่งคำร้องไปที่ rounter เพื่อข้อแลกเปลี่ยนข้อมูล และเจ้า NetCut มันคอยทำหน้าที่ในการส่ง ip,mac ของปลอมให้คอมพ์เราครับ ทำให้คอมพ์ของเราไม่สามารถแลกเปลี่ยนข้อมูลจากที่ใดๆ ได้เลย

ทุกครั้งที่เปิดเครื่อง ควรทำทุกรอบครับ เพราะจากการทดลองของผม ต้องทำทุกครั้งที่เปิดคอมพ์ครับ
เป็นหลักยืนยันได้ว่า เวลาย้ายไปเล่นที่อื่น (สำหรับโน๊ตบุ๊ค) ก็ไม่ต้องกลัวปัญหาเรื่องล็อค ip mac ครับ