El 14/10/05, Carlos E. R.
Luego arp simplemente sirve para encontrar la relación entre la dirección IP y la dirección hardware, que en el caso de las tarjetas ethernet, se trata de la dirección MAC. Por otro lado, sabemos que hay programas que permiten configurar (cambiar) la dirección MAC, y un buen programador lo sabe.
Es cierto que hay programas que pueden observar la red y mantener una tabla de las MACs y de las IPs que usan cada una - por ejemplo, el demonio "arpd" podría usarse para eso:
nimrodel:~ # arpd -l -b arpd.db #Ifindex IP MAC 2 192.168.100.1 00:30:84:0a:8b:f5
trabaje hace un tiempo atras con arpwatch !!!! era interessante, toda vez q se cambiaba la IP/MAC o alguna nueva tarjeta se conectaba a la red, se enviaba un correo eletronico !!!
pero también lo puedes sacar de /proc/net/arp:
IP address HW type Flags HW address Mask Device 192.168.100.1 0x1 0x2 00:30:84:0A:8B:F5 * eth0
Pero... ¿de que te sirve ver si alguien usa una IP no autorizada en una MAC que no le corresponde, cuando los usuarios pueden falsificar tanto la mac como la ip?
mmm.. me viene a la mente, q podrias utilizar arpwatch para al inves de enviar un correo cuando se cambie la MAC/IP, generar una relga en ell cortafuegos bloqueando dicha tarjeta de red !!!! salu2. -- -- Victor Hugo dos Santos Linux Counter #224399