Подмена MAC, arp-flood. Как вычислить?

[Neelix 33]

Пинг не подходит однозначно так как зависит от сетевухи, компа и даже ОС. Слышал что прохождение через свич меняет чтото в стеке ТСП... Может кто знает?

обычные коммутаторы незнают ничего дальше L2

вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети.

Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал.

Если жалко ресурсы сети, то делать аутентификацию, пароли держать в БД одного сервера.

Интернет раздавать только привязанным к маку ип адресам.

Делить на подсети сети не /24, а /29 хотя бы.

Логирование ARPWatch.

Свичи держать в сейфах, чтобы посторонний никто не подключился.

Этого уже будет достаточно, и это без больших материальных затрат (кроме ящиков на свич). Даже если кто-то поставит себе левый ип и подменит мак, ну и что? дальше роутера он не уйдет, к тому же это ВАШ клиент, который платит абонплату за пользование сетью.

Поиграется с подменой и надоест, потому что эффективного результата это ему не даст.

[loki 86]

А если отключить arp в сети ? И все делать статически ?

[911 140]

А если отключить arp в сети ? И все делать статически ?

имхо гониво

проще пускать на все локальные ресурсы только после авторизации

[XoRe 0]

Если хочется надежности, все же стоит двигаться в сторону управляемых свичей.

[Oleg Doneck 94]

господи да купите вы один умный L2 и ставте его по магистрали передвигая всё дальше пока хацкер неокажется воткнутым в умный порт - тут вы его и словите - стоимость самого дешового умника 100$ - спокойный сон стоит дороже!!!