Снифер
 

Доброго времени суток!-

Прошу знающих пояснить такую ситуацию. Имеется сеть, состоящая из управляемых коммутаторов D-link марок DES 3526, DES 3028, DGS 3627G и DES3828. Так же имеется сервер раздачи интернета через Traffic Inspector с ип адресом 192.168.251.1 и соответствующим ему маком xx-xx-xx-xx-xx. Всё вроде бы работает в норме, но у клиентов возникают постоянные проблемы - client Traffic Inspector теряет подключение к серверу. При этом самое что интересное - при просмотре у клиентов арп-таблицы выясняется что серваку с Traffic Inspector соотвествует ип адрес 192.168.251.1 и мак yy-yy-yy-yy-yy!!!!!!!!!!!!! :blink:

При этом если пытаюсь залезть на какой-либо коммутатор - то как правило он начинает сильно тупить, и получить с него информацию составляет довольно такие приличное время.

У всех клиентов стоит привязка по ип-мак- порту. На коммутаторах DES3828 прописано по статике соответствие 192.168.251.1 маку хх-хх-хх-хх-хх.

Что делать? Подозревал что кто-то занимается спуфингом или снифирит сеть. Как проверить так это или нет - не представляю себе. :(

PS ставил для теста снифер Cain & Abel - ситуация схожа с происходящей в сети (также подменяется мак адрес сервака) , с той лишь разницей, что при перехвате паролей client Traffic Inspector не теряет подключение к серверу 192.168.251.1 даже после подмены мака на yy-yy-yy-yy-yy.

RaZul, добавь для TI
то же самое можешь на клиентах
см. утилиту Arpwatch, PromiScan 3.0, сам когда-то snort использовал, полезная штука много о сети нового узнал )
кроме того можно определить ip по мас yy-yy-yy-yy-yy