смотрю я статистику сетевых соединений. и бывает что вот с ип адреса 0.0.0.0 идут порт скан, еще всякая батва. вот я и задумался как мне выловить то реальный ип?
у кого какие мысли?

Это в локальной сети или нет ?

в локалке

адрес 0.0.0.0 используется для обозначения любого адреса...
чаще используется при обозначении, скажем, внешнего маршрута
отловить "негодяя" можно фаерволом, скажем Outpost Pro ведет логи и прианализировав их можно сказать кто рвется в вам

Если отправитель "батвы" не подменяет свой MAC-адрес, то сниффером на своем компе.
Если подменяет - сниффером на портах свичей.

ну скажем сетка у меня большая. снифферы ставить тяжеловато везде.

Каким же образом наличие большой сети мешает поставить сниффер (или самописную программу) на свой комп, чтобы повнимательней рассмотреть канальный уровень этих левых пакетов..?

географическая проблема :) ехать даллеко.