В локалке есть две сетевухи с одним IP, но разными MAC. Одна из них внаглую присвоила адрес себе нелегально, не давая нормально работать другой.
Как вычислить нарушительницу и пристукнуть?
Платформы для возможных боевых действий: Win 7 x64, Win Serv Ent x64, CentOS 5.

P.S. Отключать по очереди всё сетевое оборудование не вариант - его слишком много и разбросано на площади в несколько квадратных километров.

убери админа у людей

(1) Под юзером все

arp -a

the dude умеет показывать карту сети, сетевое имя и мак

И ещё его MAC'а нет ни в одной базе...

по маку на свиче определяешь порт, по порту — железку, по железке — хозяина.

хороший боевой юзер

nbtstat попробовать

хакеры наступаэ

иногда помогает инет по mac-у обрубить - сами прибегают

(5) руками обычно лень вбивать мак из базы

(9) (11) Не пугайте

(6) А поподробней можно ?

(4) Спасибо, изучаю

Lanscope запусти

(0) Физически отключить хозяина правильного Мака и Ip (или заменить его на другой временный). traceroute и прочим посмотреть на каком свиче/маршрутизаторе находится ложный IP. Пройти по кабелю.

(16) Мак меняется аппаратно, но скорее всего обычная техническая накладка. (в стиле роутер одновременно раздает wifi и имеет локальные порты, время аренды порта разное, где-то адрес вручную прописан и т.д.)

arp -a
попробуй в командной строке

(13) это если свичи умные только, Dude довольно удобно все покажет, она бесплатная

(3) (18) http://s017.radikal.ru/i412/1401/4d/82c7467fac8b.jpg

(20) А дать другой адрес не нарушителю нельзя?
Или физически никто не известен?

(20) сервер есть? дхцп?

(20) торговое оборудование есть? кассовый компьютер? де жа вю

(21) Можно, но дело принципа
(22) Есть, но раздаёт он адреса из диапазона, в который "пострадавший" IP не входит

(23) Торгового нет

Может кто ноут притащил.

(24) nbtstat -a <IP>
Выведет имя.
Мож поймешь чье

(27) "Узел не найден" пишет.
Хотя пинги идут

взломать и выпотрошить..

чё-то Dude карту не рисует, хотя "Скомпоновать карту после обнаружения" галочка стоит.

(28) ща выяснится, что это сетевой принтер или роутер )))

(31) всяко может быть

(0) свич обычный или умный?

(28) Тогда nbtstat -A <IP> попробуй.

(2) если у тебя не древняя операционка, то без админа сетевые параметры нельзя изменить.

(24) если принципиальный - купи L3 свич, и ищи своего нарушителя. Раз ради принципов времени не жалко, то и денег соот-но тоже.

Или сканер портов любой скачай и всю доступную статистику по ип-адресу собери.

(33) центральный свитч в серверной - умный. Остальные тупые.

(34) Такая же петрушка

(38) зайди в веб морду и посмотри маки по портам

(0) Ну, как найти нарушителя советов хватает. Думаю пора приступать ко второй части(не просто же так тема называется "Найти и наказать").
Предлагаю высечь плетью. Желательно привсеофисно. Видео на ютуб. Ссылку внести в должностные инструкции - пункт нарушение должн. инструкций.

(41) http://ic.pics.livejournal.com/cgtr/17009897/1913126/1913126_original.jpg - поправить минуты на "подделку IP"

Никакой софт не нарисует карту сети если она на тупых коммутаторах хотя бы просто потому , что коммутаторы ничего не делают с TTL пакета. На управляемых коммутаторах можно отловить мак и все такое прочее , но судя по всему у автора оборудование из дешевых. Если злоумышленник догадался поменять IP он может и догадаться поменять MAC , а если он еще у себя на компе запустит DHCP то это вобще перерастет в кошмар и тогда реально придется выдергивать вилки из свитчей.

(43) длинки умеют резать дхцп

(0) ерунда какая то. И чо - никакой комп не орет, что у него конфликт адресов? Не верю.

+(45) выключается возмущенный комп, а там nbtstat ищется имя компа нарушителя.

уж при известном то IP, тут делать нефиг.

а тут внезапно это у генерального ноут так чудит, придет тс его наказывать и уйдет обратно с тапком в опе

(44) А резать-то как раз и нельзя , у автора там раздается по DHCP адреса какой то части сети.
Да , и traceroute не поможет тоже - это маршрутизаторы возвращают ответ traceroute , а коммутаторы тупо отправляют пакет дальше.

самое быстрое - провода дёргать, если оборудование не позволяет найти подключение по маку.
Комп с оригинальным IP, Включить пинг и дёргать провода, пока пинг не пропадёт. При нахождении - подать 220В туда :)

+(50) комп с оригинальным IP выключить

как вариант, кстати пробежаться по ноутам.

Контроллер датчиков системы безопасности это был.
Прошёлся по всем сегментам сети, подёргал на коммутаторах кабели, дошёл до конца.
По рукам надавать сотруднику фирмы, что делала это, уже не получится - все бумаги подписаны, распрощались.

(53) Нет, а что вы хотели, настройщики задают вопрос - какая сеть и какой допустимый диапазон DHCP, а потом выбирается любой адрес, в него не попадающий, так как половина этих "замечательных" устройств требуют постоянного IP-адреса.
И, самое печальное, что "замечательные" устройства не зарегистрированы в базе данных MAC-адресов.

(0) тут два варианта - или у тебя проблемы с дхтп, или клиенты приходят с своими айпишниками (которые чудесным образом совпадают).

в любом случае напрячь админа

(52) а если их 2000 и половина далеко за мкад?

(20) ппц проблема. Оно все в домене?