Форум системных администраторов

Повторюсь...ибо как я понял это единственный выход, если конечно действительно подмена адреса имеет место быть.
1 На свитчах на каждом отдельно взятом порту(влане) закрываешь все коннекты к юзверям на 68 UDP кроме коннекта к компау с маком твоего сервера.
2 Там же запрещаешь проходить пакетам с соответствием ip_adress(твой сервак) !mac_address(твой сервак). (Адрес ведь может быть забит и вручную).
ВСЕ. Ни одна сволочь больше тебе не навредит ибо его жалкие попытки умрут на его же порту по несоответствию адрес/mac .
ЗЫ Когда будешь делать 2 пункт у тебя есть шанс найти гада. Делай блокировки на узлах по одному и смотри логи. Рано или поздно всплывет).

Phantom
дык он жежь вродь писал, что ип ставится на разных хостах

Ну и пускай. Залочив 68 порт как минимум он выяснит...DHCP или руки...? При этом сервак и понятия об этом иметь не будет, а он преспокойно отлавливать гадца.

блин arpwatch позволяет только мониторить происходящее. не спорю это здорово теперь я могу в режиме реального времени видеть маки конфликтных компов, но мне нужна штука которая отрубит хост поменявший адрес

в идеале со взрывом этого хоста и нанесением тяжких телесных злоумышленнику. шучу конешно

Phantom
давай поподробней твой вариант. Мне нужно заходить в веб морду свича?

Фиг его знает насколько умное у тебя оборудование. Например так. Или что то наподобе.
http://sysadmins.ru/topic305581.html