[lxa85]

Цитата Ultrix:

Если это нашь комп, то значит мак у него будет идентичен сотне таких же компов и значит злоумышленик не будет найден? »

Чушь. mac адрес конечно можно изменить, но это вещь уникальная, однозначно идентифицирующая сетевую карту.
ip адрес он виртуален, т.е. не имеет четкой привязки.
МАС адрес

[Ultrix]

Цитата lxa85:

Чушь. mac адрес конечно можно изменить, но это вещь уникальная, однозначно идентифицирующая сетевую карту. ip адрес он виртуален, т.е. не имеет четкой привязки. »

Вот к чему ты мне это написал??? Спасибо конечно, но это к теме не имеет никакого отношения. извини.

[lxa85]

Ultrix, я к тому что не может в сети существовать 100 одинаковых MAC адреса. Сеть просто окажется неработоспособной.
Если свичи умные, то контролировать по их таблицам.

Цитата Ultrix:

Не разрешаеться имя. »

Цитата Ultrix:

winxpe и соответственно в сети у него такое имя »

Из этого следует, что имя у него все-таки есть, и он где-то "засветился"
Можно посмотреть в сторону сетевых сканеров.
nmap, wireshark, nping(не по одному адресу, а в несколько потоков.)

[exo]

Цитата ab57:

arp -a Если левый комп включен и виден в сетевом окружении, то в результатах arp будет его IP и MAC. »

если комп виден в сетевом окружении, то его МАС адрес не будет в таблице МАС адресов.
Пример:
Доменная сеть. 300 компов. По 100 на этаж. На каждом этаже своя подсеть. Все 300 видны в сетевом окружении.
вводим arp -a, и видим только несколько соответствий IP\MAC - это те машины, к которым я напримую обащлся: почта, ДНС и прочее.
+ находясь на первом этаже, я никогда не увижу МАС двух других этажей. (вы пингуете www.ya.ru но вы не видите МАС сервера)

Чтобы узнать МАС адреса всех компов по подсетям, можно использовать снифиры. Их полно, к примеру XSharez.

[Ultrix]

Цитата lxa85:

Ultrix, я к тому что не может в сети существовать 100 одинаковых MAC адреса. »

Как бы никто это и не оспаривал, мне кажеться это всем известно. Если ты зацепился за слово "идентично" то я имел ввиду похоже, а не одинаково.

Цитата lxa85:

Из этого следует, что имя у него все-таки есть, и он где-то "засветился" Можно посмотреть в сторону сетевых сканеров. nmap, wireshark, nping(не по одному адресу, а в несколько потоков.) »

А вот тут можно пожалуйста поподробней, я с этим не сталкивался и не зная с чего начать.

[XaHAleX]

Цитата Ultrix:

Люди, подскажите как узнать айпишник по сетевому имени? »

ping /? не помогает???
например, ping -a <namecomp> выдает IP-адрес ПК, но это поможет только в том случае, если IP-статический...
вот только что даст знание IP нарушителя?

[gf100]

Цитата Ultrix:

какойто хитрец в нашей организации грузиться с winxpe »

Какие симптомы? Т.е. где и на чем он засветился?

Цитата Ultrix:

наша организация имеет достаточно секретные документы »

Как к ним организован доступ? Хотя, если не входя в домен использовать для подключения к шарам доменный аккаунт, можно снять любую информацию... и пофиг политики. Можно попробовать включить аудит на доступ к проблемной информации и посмотреть с каким именем её смотрят.

Цитата Ultrix:

не зная с чего начать »

я пользовался ipscan.

[ab57]

Ultrix, сегодня отсутствовал, поэтому продолжу.
Ваш левый комп, похоже получает адрес по DHCP. Рабочая группа, домен, ОС, - все это не играет никакой роли. В сетях Ethernet данные (протокол IP, ICMP, UDP и т.п.) передаются кадрами, адресуемыми физическим адресом сетевой карты - MAC-адресом отправителя и MAC-адресом получателя. И никак иначе. Именно по MAC и найдете этот комп. Вы данные DHCP-сервера смотрели ?
exo, MAC вы не видите в 2-х случаях:
- arp-кэш не актуален (по таймауту, принудительном удалении)
- компьютер находится в другой подсети, тогда обмен с ним выполняется через маршрутизатор, и в кэше вы получите MAC маршрутизатора.

[exo]

ab57, третий случай вытекает из первого:
Arp-таблица строится на основании "общения" с компами.
А один просмотр в сетевом окружение, без попытки "входа" на компьютер, не есть "общение", а следовательно, Arp-таблица не заполняется.

[ab57]

exo, это не совсем по теме, но в частном случае вы правы, наличие имени компа в сетевом окружении означает, как минимум, общение с главным обозревателем сети. Если ваш комп таковым не является, то для актуальности arp-кэша нужно инициировать обмен с ним по IP-протоколу.
Ultrix, т.е. попытка входа, а затем arp -a.
Когда вы будете знать MAC, найти злоумышленника не составит особого труда. Даже если он будет работать на этом компьютере в легальной ОС, его MAC останется прежним (если он, конечно, не кул-хацкер и занимался подменой). Если у вас используется программная инвентаризация, (а для сети из 100 компов очень не мешало бы) - MAC как правило можно взять из ее данных. Если инвентаризации нет - масса вариантов. Например, скриптом входа в домен выполнять ipconfig /all с записью результатов в файл.