еще бы SP для винды выпустили для поддержки -s

перечитал
много думал

http://www.oxid.it/
А вообще-то, на секлабе есть ссылка.

Ситуация: хост B забрасывает хост A ложными arp-ответами.
Насколько я понимаю arp-ответ должен выглядеть следующим образом:
[[мак А][мак В][ip А][ip жертвы][сообщение arp-запроса:вот мой мак]]
Используя Каина, arp-кэш А перезаписывается за считанные минуты! Уж точно в течение этого времени А не посылал широковещательный arp-запрос. Что же заставляет A так быстро перезаписать свою arp-таблицу?
Есть такая вещь- "удаление по возрасту": Устройства в сети удаляют все данные из arp-таблицы, возраст которых превышает установленный. Интересно, какой он? Вообще, каждое устройство постоянно обновляет свою arp-таблицу с помощью сведений, получаемых как от своих arp-запросов, так и от запросов, поступающих от других устройств в сети, с целью уменьшить объем широковещательного трафика в сети. Тогда возможно достаточно послать лишь один ложный arp ответ, для отравления? Или я не прав?
Чтобы  до конца разобраться в этом вопросе я бы хотел взглянуть на исходник программы, которая отравляет arp-кэш жертвы. Если кто-нибудь видел таковой, дайте ссылку.

А что, arpwatch под вындоус работает?

ARP poison позволяет злоумышленнику сделать себя маршрутизатором по умолчанию. Я предлагаю назначить порт на котором стоит маршрутизатор по умолчанию и сделать запись permanent в mac-address-table в Catalist таким образом чтобы никто не мог сказать на другом порту, что он теперь маршрутизатор по умолчанию. И тогда пакеты к нему с вашими паролями идти не будут. на Catalist 1900 это делается командой
mac-address-table permanent 1122.3344.5566 ethernet 0/1
если сервер с мак адресом 1122.3344.5566 висит на порте 0/1
А прописывать юзерам порты статически неудобно конечно, поскольку они чаще меняются, чем адрес сервера.
Есть еще возможность на каждом порте ограничить число источников по числу MAC адресов, но тоже надо пробовать.
команда на интерфейсе
port secure max-mac-count 1
Как считаете? Я пожалуй в понедельник попробую

PS: Точно знаю что WinXP, Win2003 и Solaris статическую запись правильно понимают.
ЗЫ: Как правильно? На порте или на порту?    Извините за offtopic. Я потом сам исправлю

да точно.
1. Мой метод сработает только если чувак попытается подменить свой МАС адрес, и тогда у него не получится. а если он именно к своему МАС адресу привяжет IP сервера или маршрутизатора по умолчанию то мой метод не пройдет, но зато он раскроет себя (!) и можно будет подходить и давать по башке.
2. Если ты будешь мониторить все смены соответсвиий и увидишь левый MAC адрес, то кому ты пойдешь порт шатдаунить интересно? По всем каталистам в здании будешь лазить?  
3. Мало того ты можешь и не увидеть атаку своим мощным ARP Watcherом, атака то направленная на определенный хост! Неужели все пакеты к тебе будут идти?

2. как ты будешь вести табличку, если он МАС адрес новый придумал и висит неизвестно где в броадкаст домене?
3. термин зеркальный порт не знаю. SPAN порт знаю.

2. ну от этого нас спасет привязка статики mac по портам. я уже говорил, что без нее возможен dos.
кста - не так уж сложно её реализовать и автоматизировать. незаюзаные порты должны быть disable.
Кроме того, что мешает при обнаружении спуфинга сливать таблицы коммутации с свитчей их парзить и давить гатский порт?

3. это сиснонимы. есть ещё один - monitored port.
кроме того - интереса подслушифать трафик между 2мя клиентскими машинками мало. соответсвенно - обычно мониторим серверочки.

PS - атака (если это не dos, а имено перехват трафика) должна быть направлена на 2 хоста.