The Prodigy

ARP Monitor v1.20 (Май, 2009)

Вниманию администраторов ethernet-сетей предлагается бесплатная утилита ARP Monitor, представляющая собой аналог arpwatch, но для Windows. Она позволяет отлавливать в сети нарушителей, отслеживать связки MAC-IP, обнаруживать сканирование,  мониторить в реальном времени активность ARP протокола в сегменте и многое другое.

arpwatch

Скачать: http://blog.kmint21.com/kmint21-arp-monitor.exe

Mirror: http://www.binaryplant.com/binaryplant-arp-monitor.exe

Для работы программы требуется библиотека WinPCAP.

UPDATE: 11 мая 2009 г

Текущая версия - 1.20. Все предложения, баг-репорты и пожелания приветствуются!

В этой версии произошли изменения путей хранения лог-файлов. Теперь все записывается в All Users-> BinaryPlant ARP Monitor.



Март 12th 2008 in Безопасность, Обо всем

Комментариев: 101 к записи “ARP Monitor v1.20 (Май, 2009)”

  1. Maniac сказал 12 Мар 2008 at 13:33 #

    Говорит, что не установлен WinPCup.

  2. сказал 12 Мар 2008 at 14:37 #

    Да, забыл дописать в пост. Обновил.

    Но оно ж предложило перейти на страницу закачки WinPCAP?

  3. Малов Евгений сказал 12 Мар 2008 at 14:45 #

    Что-то странное творится. WinPCap отказывается ставится. Точнее он ставится, а прога говорит, что его нету.

  4. f0und3r сказал 12 Мар 2008 at 15:01 #

    хорошо бы русский язык добавить….

  5. Maniac сказал 12 Мар 2008 at 16:11 #

    Предложить-предложило, но я люблю программы “все включено”.

  6. Ugnich Anton сказал 12 Мар 2008 at 17:36 #

    Где используешь эту программу? На роутерах arpwatch есть, клиентам вроде такие подробности знать не надо… Да и вообще привязка MAC-IP - это зло. Ну да, наверное, ты и сам знаешь.

  7. сказал 13 Мар 2008 at 02:02 #

    Малов Евгений, и перезагрузка не помогла?

    f0und3r, надо было изначально русскую версию делать, а мы (по-привычке) сразу English. Ну да ничего, чуть позже будет.

    Maniac, пока бета, не захотелось еще включать ВинПКАП в комплект. :) Плюс еще не выпускали софта, требующего этот пакет, так что нет однозначной уверенности правильно ли его вкладывать в дистрибутив.

    Ugnich Anton, сегмент свой мониторю. А привязку мы не используем. Главная причина - кол-во статик записей в L3-роутере (железячном) у нас ограничего (тысяча). Ну для него мы написали другой софт (демон, просматривающий ARP-кэш роутера по SNMP-протоколу, и веб-интерфейс к нему).

  8. witch сказал 14 Мар 2008 at 07:05 #

    Стоит добавить функцию определения вендора сетевухи по МАС

  9. KoryШ сказал 18 Мар 2008 at 13:55 #

    У меня вот только сразу вылезла ошибка - в окне Events тыкая правой кнопкой на любую “New Station” вылазиет окошко “Arpprotocolmonitor” с кнопкой OK и все, что за ошибка непонятно
    При нажатии на станцию с “New activity”, “Network scanning” и “Ethernet mismatch” спокойно открывается контекстное меню….
    Система - Win XP Prof SP2+updates (а вот какой winPcap не скажу, не помню, а искать лееень) :)
    Ну, если чего ещё увижу, напишу, спасибо за прогу!

  10. сказал 18 Мар 2008 at 16:58 #

    witch, да, можно сделать.

    KoryШ, спасибо за баг-репорт. Действительно, такая же фигня (после добавления одной фичи вылез баг, а мы не заметили). :) Исправим.

  11. сказал 18 Мар 2008 at 17:01 #

    Сегодня, кстати, АРП-монитором обнаружили один новый вирус (как мы догадываемся), который сам арп-спуффинг осуществляет (объявляет себя роутером). Среагировали в течении нескольких минут и отключили пользователей, которых было аж трое (как будто вирус по таймеру ожил).

  12. VADIM сказал 23 Мар 2008 at 16:43 #

    А под линукс такую программу еще не создали ? а то я пользюсь чаще линуксом чем виндовсом !

  13. Monstric сказал 25 Мар 2008 at 04:30 #

    Спасибо, полезная прога. Неплохо было бы в пункте IP-MAC сразу отображать имена компов.

  14. keyword-spam сказал 28 Мар 2008 at 00:15 #

    Да щас бы русификатор на нее. Есть у кого?

  15. Михаил сказал 02 Апр 2008 at 13:46 #

    По мак-адресам легко находить производителей сетевых карт и свичей. Таблицы мак-адресов свободно лежат в инете. Можно ли добавить опцию, чтобы вместе с ИП и МАС показывался производитель девайса?

    Если нужно, таблицу МАКов пришлю.

  16. Михаил сказал 02 Апр 2008 at 14:09 #

    Дополнение:
    Нужна кнопка - очистить окно с списком ИП и МАС

  17. сказал 02 Апр 2008 at 14:20 #

    > Нужна кнопка - очистить окно с списком ИП и МАС

    Можно выделить нужные строчки (или сразу все) и нажать УДАЛИТЬ. Кнопочку решили не делать, чтоб не перегружать интерфейс. Просто если ее делать, то тогда логично сделать и выделение всего, и копирование в буффер и …. вобщем, дублировать попап-меню (то что по правой кнопке).

    > По мак-адресам легко находить производителей сетевых карт и свичей.

    Уже было подобное предложение, но чуть в другом формате. Мы решили сделать в след. версии доп. поле в окошке “Информация об ….”. Стоит ли в таблице IP-MAC столбец ради этого добавлять?

    Еще была идея сделать доп. опцию - переключение вида столбца MAC на что-то вроде:

    “surecom-AA-BB-CC”

    Усложнять можно много чего, но нужно ли это большинству? Пока не ясно. :)

  18. Михаил сказал 02 Апр 2008 at 15:33 #

    Поверьте, бывает нужно. :) Лучше тогда не переключение, а просто опцию в настройках.

  19. ipto сказал 04 Апр 2008 at 08:26 #

    Нужны разные фильтры, например, не показывать одинаковые маки. Экспорт списков. Опционально (чтобы это можно было отменить) возможность показывать инфу о юзере сразу в основном списке (будет тормозить если все данные получать сразу - нужна возможностью выбора что именно показывать dns, hostname и тд). Нужен хелп, для начала расшифровка всех сообщение (типа этого Ethernet mismatch The source mac ethernet address(00-08-C7-99-DD-7A) didn`t match the address inside the arp packet(00-00-00-00-00-0A)) с советами как лучше прибить гадов :) Наличие акивного противодействия :) (на подобии ip-sentinel под nix) тоже не помешает.

  20. ipto сказал 04 Апр 2008 at 08:28 #

    Еще можно обратить внимание на проги и перетянуть некоторый функционал оттуда:
    Network Control
    Layer 2 network Guard
    IP Change Monitor

  21. ipto сказал 26 Май 2008 at 05:18 #

    Поюзал некоторое время, сравнил с аналогами (Network Control) и остановился на этом варианте, даже ничего не доделывая хорошая прога для отлавливания гадов всяких

  22. Firelight сказал 26 Май 2008 at 05:48 #

    Очень нехватает в методах оповещения отправки сообщения на почтовый ящик. Еще было бы полезно добавить запуск приложения по событию, если ARP Monitor уже генерит сообщения по событиям то дайте хоть список, обработчик нарисую.

  23. lucky сказал 01 Июл 2008 at 22:47 #

    спасибо за прогу :)
    пользуюсь первый день :)
    такие наблюдения - ошибка (описанная выше) срабатывает не на всех эвентах. только на “новая станция”. на смене мака - контекстное меню выпадает успешно.
    вопрос. а можно как-то выделять разные события? типа существующего показа разных ip на одном маке, показывать разные маки на одном ip? или если это реализовано - подскажите как найти :)
    Пример: 01.07.2008 22:34:45 Changed ethernet address 10.0.33.135 from 00-13-77-66-53-C2 to 00-0E-2E-A9-61-D0
    можно ли как-то вывести списком все его измениния и отследить динамику?

  24. Maxx сказал 03 Июл 2008 at 15:32 #

    Поиск IP или MAC

  25. Assault сказал 06 Июл 2008 at 03:39 #

    Скоро ли выйдет программа с теми исправлениями и новшествами про которые тут писали? если уже вышла то дайте ссылку пожалуйста! Программа просто класс…

  26. Vofka сказал 14 Окт 2008 at 11:20 #

    прога просто супер. большое спасиб! завелась в локалке зараза, перехватывает траф и инклюдит в http скрипт на открытие зараженного сайта. Надеюсь поможет найти компы с вирусом.

  27. rainstation сказал 10 Ноя 2008 at 08:14 #

    Отличная программа, спасибо. из замеченного пока только что даже если отключить интерфейс в настройках, и сказать использовать только один, она все равно ловит пакеты с отключенного интерфейса.
    Ну и конечно на английском вроде все понятно, но поддержу просьбу о добавлении русского языка.

  28. uraso сказал 12 Ноя 2008 at 09:30 #

    Прога хорошая!!!!
    Хотелось конечно с русским интерфейсом.

  29. rainstation сказал 13 Ноя 2008 at 05:38 #

    Кстати мелочь, но неудобно, окно надо сделать резиновым, хотя бы по ширине. Не вся информация помещается в Events, приходится постоянно растягивать.
    + кнопку Lock на Events тоже не помешало. Пока просматриваешь событие, прилетает другое и всё заново. Приходится мышкой удерживать ползунок.
    + в окно IP-MAC добавить “Свернуть всё” и чтобы после переключения в другие окна чтобы запоминало что свернуто, а что развернуто. :) хотя понимаю что такое запоминание трудно реализуемо, но пусть просто пожелание.
    Спасибо вам еще раз. Много раз уже выручила программа. Не ожидал от беты такой стабильности и информативности.

  30. с сказал 22 Ноя 2008 at 00:30 #

    к делу не относится, но тем не менее:
    не этично брать для беты версию 1.00,
    может стоит начинать с 0.01 ? никогда не думал почему такие мега проекты как тот же цшкуырфкл до сих пор не дошли до 1.00 ? )

  31. сказал 22 Ноя 2008 at 01:19 #

    Нумерацию с нуля считаю полнейшим извратом. :) Нумерация всего начинается с единицы.

  32. Ilya Evseev сказал 02 Дек 2008 at 23:39 #

    Возможно, в такой маленькой пользовательской программе это лишнее, но IMHO были бы полезны фильтрация и суммирование по типу сообщения, MAC-адресу и IP.

    Для сравнения - http://sources.homelink.ru/arpwatch/ :)

  33. -KAPMA- сказал 05 Дек 2008 at 20:42 #

    Можно ли как то выводить инфу из закладки IP-MAC ?! А то неудобно как то …

  34. buh1 сказал 19 Дек 2008 at 03:28 #

    Вот если бы её сделать в виде сервиса, раздеить на серверную и клиентскую части.

  35. tiviset сказал 23 Дек 2008 at 15:49 #

    Можно было бы сделать отдельный журнал (как системный) и писать все в него.
    А потом можно уже было бы помечтать об обработчиках этих эвентов… :)

  36. tiviset сказал 24 Дек 2008 at 10:42 #

    Еще предложение - добавить возможность сортировки по:
    1. событиям
    2. ай-пи
    3. маку
    (ну и дата-время по умолчанию)

    + возможность исключать из сканирования/наблюдения не только ай-пи адрес, но и мак-адрес (например на одном сетевом интерфейсе несколько адресов)

  37. tiviset сказал 25 Дек 2008 at 14:55 #

    еще предложение:
    дать описание разным эвентам, т.е. на что указывает то или иное событие.
    например network scaning - понятно, что указанный интерфейс сканирует сеть.
    вопрос КАК он это делает, посредством какого механизма, ну и т.д. :)

    еще раз спасибо за хорошую утилиту.

  38. tiviset сказал 25 Дек 2008 at 15:20 #

    кстати, да… было бы неплохо делать импорт. :)

  39. сказал 25 Дек 2008 at 16:02 #

    Небольшое описание по ивентам: http://binaryplant.com/

    А про событие сканирования - там вроде должно быть понятно. :) Это ж просто определение большого числа АРП-запросов за заданный промежуток времени - все это настраивается в опциях.

  40. tiviset сказал 25 Дек 2008 at 16:39 #

    по поводу network scaning - это ведь может быть просто программа “просмотра состояния/карта” сети ?
    просто хотелось бы отлавливать именно “злостных” т т.д. :)

  41. Ant сказал 19 Янв 2009 at 18:58 #

    Спасибо, классная программа, решил на ней и остановиться.

    С позволения автора, выражу свои пожелания к программе):
    - отправка отчета о событии на e-mail/icq (а можно и на то, и на другое, кроме того, все возможные сведения о хосте в отчете)
    - добавить в контекстное меню хоста действия (удаленное подключение к хосту- вызов mstsc, reboot:) и т.д., вобщем, любые возможные действия с хостом )

    Ну и вроде вседля полного счастья)
    Спасибо за хорошую работу.

    P.S. Насчет клиент-сервера - неплохая идея.

  42. Слава сказал 23 Фев 2009 at 21:59 #

    Добрый день, а какая причина появления сообщения Gratuitous ARP? Спасибою

  43. сказал 24 Фев 2009 at 00:24 #

    Добрый.

    Детально, но на английском: http://wiki.wireshark.org/Gratuitous_ARP

  44. Слава сказал 24 Фев 2009 at 00:46 #

    Огромное спасибо за оперативный ответ! Последний вопрос:
    событие: The source mac ethernet address(00-1С-FC-44-BF-32) didn`t match the address inside the arp packet(00-1E-56-79-2B-D3), где первый мак (00-1С-FC-44-BF-32) принадлежит моему компьютеру, а второй (00-1E-56-79-2B-D3) компьютеру из сети означает, означает что второй комп осуществляет arp атаку на мой компьтер?
    Еще раз Большое спасибо!

  45. сказал 24 Фев 2009 at 22:16 #

    > означает что второй комп осуществляет arp атаку на мой компьтер?

    Это явно указывает на аномалию. Но вот судить о ее природе надо осторожно. :) Содержимое пакета может быть какое угодно + отправить может его кто угодно.

  46. Олег сказал 25 Фев 2009 at 09:34 #

    Здравствуйте !
    Подскажите пожалуйста, почему Arp-монитор включенный двое суток ничего ни разу не увидел, ни в аrp-таблице, ни в логах нет ни одной записи ?
    В моем VLAN’е еще 124 компа кроме моего + gateway,
    на компе установлен WinPCap 4.1 beta 5.
    В чем тут дело ?

  47. сказал 25 Фев 2009 at 16:52 #

    Здравствуйте, Олег. Если WinPCAP не проинсталлирован как системный сервис, а ОС - Vista - нужно запускать ARP Monitor через “запустить с правами администратора”.

  48. ARX сказал 01 Мар 2009 at 10:53 #

    1. А когда выйдет версия на русском?

    2. Я так понимаю проблем эта программа не решает а только мониторит?

    3. Ничего более удобного чем ваша прога ни нашел. Вы работаете над ней?

    4. Если новые версии будут, то какие еще полезные функции добавятся?

    Спасибо.

    П.С. Слежу за обновлением и развитием событий в данном блоге ))

  49. сказал 01 Мар 2009 at 13:57 #

    > 1. А когда выйдет версия на русском?

    Не выйдет. :) Делали рабочий вариант с переводом, но коряво выглядит все. Да и переводить тут нечего.

    > 2. Я так понимаю проблем эта программа не решает а только мониторит?

    Конечно.

    > 3. Ничего более удобного чем ваша прога ни нашел. Вы работаете над ней?

    Скорее нет, чем да. Есть уже билд, где исправлено кое-что, но зарелизить как-то руки не доходят. А еще что-то дорабатывать… Разве что интерфейсную часть.

    И доделаем еще часть того, что тут в комментах выше писали.

  50. Jason сказал 17 Мар 2009 at 22:37 #

    Product is wonderful. Thank you for creating it.

  51. KosMas сказал 01 Апр 2009 at 12:18 #

    Замечательная штука!

    А не подскажите, какие могут быть причины вот такого поведения сети?

    01.04.2009 12:56:47 Ethernet mismatch The source mac ethernet address(00-17-A4-F5-BB-57) didn`t match the address inside the arp packet(00-00-00-00-96-5D).
    01.04.2009 12:56:47 Ethernet mismatch The source mac ethernet address(00-17-A4-F5-BB-57) didn`t match the address inside the arp packet(00-00-00-00-96-5E).
    01.04.2009 12:56:47 Ethernet mismatch The source mac ethernet address(00-11-2F-D4-B4-C4) didn`t match the address inside the arp packet(00-00-00-00-96-5F).
    01.04.2009 12:56:47 Ethernet mismatch The source mac ethernet address(00-18-F3-08-9B-14) didn`t match the address inside the arp packet(00-00-00-00-96-60).

    И таких пакетов огромное количество…
    Некоторые маки повторяются… Некоторые нет…

  52. Fault сказал 04 Апр 2009 at 12:04 #

    IP Change Monitor

    неплохая программа -я ей пользуюсь

  53. Loafer сказал 20 Апр 2009 at 10:54 #

    Если Вы не собираетесь в дальнейшем работать над прооектом, так может выложите исходники?
    А хорошие парни продолжат хорошее начинание :)
    Всё равно спасибо, не зависимо от решения об исходниках.

  54. AleX_RoLLeR сказал 11 Май 2009 at 10:19 #

    На указанном выше Вами сайте http://binaryplant.com/ лежит тоже версия, по виду точно как скачанная отсюда, но написано что тоже 1.0 beta. Исполняемый файл датирован 20.04.2008, размер 2289152 байт. Тоже Ваша? В чём отличия?

  55. сказал 11 Май 2009 at 11:35 #

    AleX_RoLLeR, все правильно, одна и та же. Где-то неделю уже как подготовили новую. Осталось дистрибутив сделать и обновить на сайтах…

  56. сказал 11 Май 2009 at 16:40 #

    Только что залил версию 1.20.

  57. AleX_RoLLeR сказал 11 Май 2009 at 17:53 #

    Почему-то с блога скачивается старая версия…

  58. AleX_RoLLeR сказал 11 Май 2009 at 17:58 #

    Спасибо за прогу, очень нравится! Спасибо!
    Единственное - её бы как сервис иметь возможность запускать…

  59. AleX_RoLLeR сказал 12 Май 2009 at 17:07 #

    Заметил один маленький недостаток.
    Если например FAR-ом открыть на просмотр логи (ARP.csv или Events.csv), то информация в них _перестаёт_ записываться, пока их просматриваешь!

    В других программах, например, при просмотре логов FAR-ом, события в эти логи продолжают записываться, и это сразу в FAR-е видно. Очень удобно, когда смотришь текущие логи, например, удалённого сервера.

    Заранее спасибо!

  60. free сказал 18 Май 2009 at 11:22 #

    вопрос если я подкину))))старые лог файлы в новую версию….
    глючить не будет??

  61. сказал 18 Май 2009 at 15:07 #

    Не будет. Формат лог-файлов не меняли.

  62. Dismal сказал 17 Июл 2009 at 05:25 #

    Не разобрался… где логи храняться?
    PS: Спасибо за прогу.

  63. Dima сказал 01 Окт 2009 at 19:09 #

    Не сканирует (не работает Network Scaning)

  64. сказал 01 Окт 2009 at 23:51 #

    Он и не должен сканировать. Наоборот - он определяет сканы сети по признакам большого числа запросов от 1-го хоста.

  65. xoxmodav сказал 15 Окт 2009 at 08:52 #

    Программа будет обновляться или её развитие прекращено? Предложения по улучшению программы принимаются?

  66. xoxmodav сказал 17 Окт 2009 at 10:47 #

    Если всё же программа не умерла и от случая к случаю развивается, то вношу свои пять копеек:

    - устранить ошибку, вылетающую при нажатии сочетания клавиш “Ctrl + A” при просмотре связки IP + MAC (а точнее в окне просмотра интерфейсов с несколькими IP-адресами).

    - добавить возможность опционального отключения ведения логов и предупреждений об использовании сетевыми адаптерами адресов APIPA (http://ru.wikipedia.org/wiki/Zeroconf). Т.к. если внезапно произойдёт сбой DHCP-сервера, то в логах программы вывалится столько интерфейсов с несколькими IP-адресами, что страшно сказать.

    - Сделать возможность добавления дополнительных столбцов в окно “IP + MAC” из окна дополнительной информации - “Info about computert” (Card manufactured, NetBIOS Name, Network Group).

  67. xoxmodav сказал 17 Окт 2009 at 10:48 #

    И напоследок вопрос:
    - Что означает появление следующих строк в логах ARP:
    17.10.2009 11:33:14 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:16 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:17 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:19 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:20 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:22 Who has 0.0.0.0? Gratuitous ARP!
    17.10.2009 11:33:23 Who has 0.0.0.0? Gratuitous ARP!

  68. tsv сказал 17 Дек 2009 at 19:09 #

    Добрый день.
    как можно узнать формат файла ipmac.dat

    очень хочется периодически его парсить в автоматическом режиме

  69. сказал 18 Дек 2009 at 00:35 #

    Первые 4 байта - общее число элементов
    ——————————
    Затем идут элементы в формате:
    4 байта - IP
    6 байт - MAC
    8 - дата последнего обновления
    22 байт дополнительная информация

  70. xoxmodav сказал 18 Дек 2009 at 08:19 #

    Так программа всё же будет ещё обновляться или её развитие уже прекращено?

  71. mynum135 сказал 20 Дек 2009 at 03:53 #

    я заметил, что формат файла ipmac.dat имеет несколько другой формат:
    4 байта - кол.записей
    4 - IP
    6 - MAC
    6 - 000000 - ?MAC?
    8 - Date+Time посл.обновл.
    8 - Date+Time посл.сканир.
    4 - 00000000 - ?Date+Time?

  72. loafer сказал 09 Янв 2010 at 23:16 #

    Добрый день.
    В один не очень прекрасный день программа перестала видеть в списке сетевых мою, теперь список пуст, соответсвенно никакого мониторинга нет.
    Система winXPSP3/
    Сетевая та же что и раньше Intel(R) 82566DM-2 Gigabit Network Connection.
    Если ли решение?
    Спасибо.

  73. сказал 10 Янв 2010 at 01:40 #

    Добрый.
    loafer, можно попробовать переустановить WinPCAP.

  74. loafer сказал 10 Янв 2010 at 17:17 #

    Спасибо. Помогло. Версия 4 WinPCAP с офсайта и проблем нет.

  75. Xagen сказал 29 Янв 2010 at 00:19 #

    Добрый день, а не подскажете совместимость с Win2008 R2 ?
    в упор не хочет видеть сетвые интерфейсы=\

  76. abspam сказал 02 Фев 2010 at 12:59 #

    В моём компьютере установлены две сетевые карты:
    - Realtek RTL8139 (на материнской плате) и
    - 3Com Etherlink XL 10/100 PCI NIC (3C905B-TX), воткнута в слот PCI.
    Сеть (нормально работающая) подключена к 3Com.
    ARP Monitor в окне опций видит лишь Realtek, а 3Com в нём начисто отсутствует. Соответственно, программу не могу даже попробовать.
    WinPCap 4.1.1 устанавливал и переустанавливал. И до установки ARP Monitor-а, и после. Не помогает. :(

  77. abspam сказал 02 Фев 2010 at 14:25 #

    При установке, программа создаёт иконку на рабочем столе и собственную группу ярлыков в меню кнопки “Пуск” (у меня стоит англоязычный Windows XP SP3, и потому эта кнопка называется “Start”).
    При удалении программы командой Uninstall, иконка с рабочего стола убирается, а группа ярлыков в меню кнопки “Start” остаётся.
    Несмертельно, конечно, но и не совсем чтобы чисто.
    (Поскольку ничего другое мне не запустить, остаётся тестить такую мелочь. :) )

  78. сказал 02 Фев 2010 at 18:42 #

    Xagen, программа полностью зависит от драйверов WinPCAP. Какой перечень устройств оно выдаст - такой перечень и будет в программе.

    abspam, к сожалению, программа может только принято то, что ей сообщит WinPCAP. Т.е. если не видно карточки - значит WinPCAP ее не видит.

    Кстати, а Ethereal / Wireshark карту видят?

    Про ярлыки - спасибо, посмотрим.

  79. Xagen сказал 03 Фев 2010 at 00:13 #

    понятно, спасибо.
    буду искать решение там.

  80. abspam сказал 04 Фев 2010 at 11:14 #

    Спасибо за оперативный ответ.

    Кстати, в тот день, когда я пробовал ARP Monitor, в нашей сети был большой перекосяк. Как оказалось, в свич вставляли все выдернутые кабеля, и в общем клубке оказался запутанным патч-корд, который, ничтоже сумняшеся, и вставили в свитч всеми двумя “фишками”. Свитч, надо отдать ему должное, не сгорел, а вот сеть встала в позу “каки-мудра”. Когда с проблемой разобрались, невидимая до этого плата 3Com магическим образом “самообнаружилась” и ARP Monitor заработал. Просто хохма из реальной жизни.

    Программа чудесная. В арсенале прочих тулзов - вещь архиполезная и удобная.
    После её опробования, у меня появилось одно пожелание по её модернизации и одно замечание.

    Пожелание. Хотелось бы в таблице “IP-Mac” видеть колонку “DNS Name” или “NetBIOS Name”. По IP не сразу определишь, что это за компьютер, а его “человеческое” название сразу подскажет его местонахождение. Заполнение колонки можно производить как сразу, при обнаружении нового сетевого адреса (в идеале), так и потом (после выполнения команды “Info about…”). Наличие такой колонки было бы очень полезно для распечатки сетевых характеристик компьютеров.

    Замечание. Если имя компьютера в сети задано по-русски, то в окне “Info about computer”, в строке “NetBIOS Name” его имя отображается “грузиницей”. Для этой строки нужно выбрать тот же фонт, что и для строки “DNS Name”, в ней русские символы отображаются нормально.

    Я неудалением группы ярлыков меню кнопки “Пуск” при деинсталляции программы я разобрался. Если программа устанавливается с настройками, предлагаемыми по умолчанию, то деинсталляция проходит чисто. Если же при установке задать имя программы, отличное от предлагаемого по умолчанию (в частности, я исключил из её названия “BinaryPlant”), то ярлыки остаются висеть.

    А в целом программа замечательная.

  81. Belch сказал 05 Фев 2010 at 12:22 #

    Хотелось бы наличия функции выборочного занесения Events в Application log .

  82. Ilya Evseev сказал 03 Апр 2010 at 23:42 #

    Не помешала бы способность запускаться как системный сервис без костылей типа SrvAny. Если это невозможно\трудно\лениво - то хотя бы опция “Добавить в персональную/общую автозагрузку”.

    Плюс возможность фильтрации и суммирования по типу сообщения, MAC-адресу и IP. Об этом я уже писал полтора года назад :)

  83. сказал 09 Апр 2010 at 14:43 #

    Мы все читаем и принимаем к сведению. :) Как только займемся новой версией - все пожелания обдумаем. Но когда это будет - пока абсолютно неизвестно.

  84. VSh сказал 15 Апр 2010 at 13:44 #

    Здравствуйте.
    Стояла программа на Windows Server 2003 R2 Std Rus, работала. Сегодня ночью автоматическое обновление поставило обновления и перезагрузило сервер.

    Программа не запускается:
    Binaryplant-arp-monitor
    Access violation at address 0043A73A in module ‘Binaryplant-arp-monitor.exe’. Read of address 76654454.

    После этого видимого окна нет, но процесс висит, убивается через диспетчер процессов.

  85. VSh сказал 15 Апр 2010 at 13:47 #

    Удалял папку c:\Documents and Settings\All Users\Application Data\BinaryPlant ARP Monitor
    - не помогает.

    Сделал uninstall программы и WinPCap, жду до вечера - нужна перезагрузка

  86. VSh сказал 18 Апр 2010 at 23:05 #

    Перезагрузил, поставил текущую версию WinPcap_4_1_1.exe, поставил kmint21-arp-monitor.exe - результат тот же

  87. Старик сказал 19 Май 2010 at 08:36 #

    Пожелания:
    1. Руссификация
    2. При обнаружении подмены IP-MAC отправлять мессагу мылом на указанный адрес

  88. Ieshua сказал 20 Окт 2010 at 16:46 #

    Сабж, работал нормально в течении 2 месяцев потом начал жрать проц на 100% помогла чистка логов.

  89. Biowoolf сказал 22 Окт 2010 at 08:48 #

    Очень хотелось бы иметь возможность отправлять по мылу данные, а так же иметь возможность настроить, что именно отправлять =)

  90. volk1234 сказал 12 Ноя 2010 at 00:19 #

    Здраствуйте.
    Хорошая утилита - нужная. До вашей утилиты пользовался ipchmon. Там функционала поменьше, зато индикация изменений получше. Например, можно сразу по MAC посмотреть какие значения принимал IP в какой день и время.
    Но самое главное - нельзяли предусмотреть запуск программы как службы ?
    Плюс хотелось бы настроить чатсоту поиска компьютеров, нечто вроде опроса по ping в пределах диапаона адресов в заданный интервал. Плюс возможность выбора папки для хранения логов :)

  91. Remedium сказал 29 Янв 2011 at 23:49 #

    Утилита супер, но хотелось бы на русском + что-бы была возможность открывать на весь монитор.

  92. Jens сказал 29 Дек 2011 at 17:17 #

    Hey, nice tool, but it would be perfect when the messages would be sent to a mail reciepent. please add a send mail funktion !!

    Thanks!

  93. Raine сказал 11 Авг 2013 at 03:12 #

    Yep, that mail send function would be very nice

  94. Remedium сказал 12 Авг 2013 at 17:46 #

    Вышла ли новая версия программы? Ждем !!!

  95. 3S сказал 10 Мар 2014 at 20:24 #

    ПО нормально работало под Win2008R2 (WinPCAP 4.1.2), но после появления на машине 30+ Vlan-интерфейсов “перестало”.
    А именно: для начала отображало только 2 Vlan-интерфейса из 10, после обновления WinPCAP до 4.1.3 и перезагрузки машины - выскакивает ошибка через пару минут работы программы (при этом окна программы или иконки в трее не появляется).
    Вернул версию WinPCAP 4.1.2 - та же ошибка, видимо WinPCAP “прозрел” по перезагрузке машины и, ошарашив ARP Monitor толпой подотчётных интерфейсов, “завесил” несчастного.
    Скрин прилепить никак, пишу текстом: “Access violation at address 0043A710 in module ‘BinaryPlant-ARP-Monitor.exe’. Read of address 5C656361″.
    Сдублировал на почту.

  96. 3S сказал 10 Мар 2014 at 20:35 #

    P.S.: вланы сделаны технологией ANS от Интел, драйвер 12.7.27 (Network Adapter Driver for Windows Server 2008 R2_x64_18.7_2013-09-27).

  97. fuzik сказал 26 Июн 2014 at 14:21 #

    Кстати эта штука - http://blog.kmint21.com/2008/03/12/arp-monitor/
    неплохая.
    Помогла понять, что “Microsoft driver for load balance” (как-то так называется) на 2012 сервере, работает как атакующий при ARP-спуффинге.
    Вообщем неприятная весчь оказалась.. Может кому-то будет полезна :)

  98. Zeser сказал 21 Янв 2015 at 13:24 #

    Спасибо за программу. Поясните, пожалуйста, чайнику природу этих строк:

    20.01.2015 17:03:36 New station 10.10.2.123, hwaddr: 00-16-E6-D2-F4-EF
    21.01.2015 8:05:06 New activity 00-16-E6-D2-F4-EF, ip: 169.254.250.143

    Один mac, но разные IP.

  99. dario сказал 30 Апр 2015 at 17:52 #

    Hi, if I want to monitor only a subnet of my network? how can I do this?

    thanks dario

  100. peshka сказал 23 Май 2015 at 02:24 #

    Один mac, но разные IP.
    Клиенту с этим ip10.10.2.123 он не выдан по DHCP.
    или клиент сбил ручные настройки сетевой карты и виндовс выдала свой ip 169.254.250.143.

  101. peshka сказал 23 Май 2015 at 02:29 #

    Выпустите новую версию отличной программы.Можно добавить работу в сети wifi. Сейчас вирусы досят роутеры .Чтобы видеть количество arp запросов или пакетов отправленных роутеру.

ARP Monitor - arpwatch for Windows






   Прогулка по Москве, фото: красная площадь, московский кремль, ночная москва.

   Случайные записи: поисковая оптимизация WordPress , щенки лабрадора
Другие посты блога: ICQ Sniffer, AIM Sniffer,     Вопли Видоплясова,     Сделайте себе красивый сайт! Шаблоны сайтов,     Сейшелы, Маэ, Виктория - фото,     Фотографии Сейшел,     Партнерские программы магазинов. hypershop.ru - отзыв, ozon.ru, bolero.ru,     Избавляемся от "сквозняков"! СРОЧНО,