в общем, есть сеть на свичах - обычная локальная сеть, на обычных свичах.
один хост меняет себе мак и ip, и начинает творить всякие гадости. причем, чел делает все верно: вытащил кабель, поменял мак и ip, и потом вставил кабель. arp демон на фре ничего не говорит.
я могу изнать, какой ip адрес творит гадость, но этот ip адрес ведь не принадлежит злоумышленнику ). так вот, я хочу как-то идентифицировать его хост (наподобие OS fingerprint в nmap-е), и потом, когда он вернеться на свой обычный ip - найти его.
смотрите:
1) OS Fingerprin - мало в чем может помочь... я сканировал разные машины - рельтат один и тот же.
2) открытые на машине порты: такая возможность есть - т.е., посмотреть какие порты открыты на нем, и потом найти его по таким же поратм - но это не серьезно. можно, но не серьезно. причины этому, я думаю, понятны.
3) - черт его знает, каким способом можно узнать машины, если на ней сменили ip и мак адрес... может подскажите со своего опыта.
спасибо.