Используй Visio. Ничего сложного. Главное - не бояться.

Действительно, вопрос достаточно сложный. Может статья "Обнаружение неавторизованных беспроводных точек доступа" поможет?

Похоже у нас конкурс "кто сможет объяснить проще"
Попробую дать определение не использовав умных слов.

Назовем "маршрутизацией" программу компьютера, которая перебрасывает пакеты с одной сетевой карты на другую. Назовем "таблицей маршрутизации" список адресов получателей и соответствующих им сетевых карт, на основе которых программа маршрутизации и перебрасывает пришедший на компьютер пакет на нужный адрес на ту или иную сетевую карту.

Назовем маршрутизацию "динамической", если на этом компьютере работает еще какая-то программа, которая постоянно меняет таблицу маршрутизации. Если такой программы нет, то таблица маршрутизации и сама маршрутизация будут "статическими".

Программа которая меняет таблицу маршрутизации постоянно взаимодействует с соседними компьютерами, чтобы получать обновленную информацию о различных параметрах: о том включены они или нет, какие у них есть свои таблицы маршрутизации, широкие или узкие у них каналы до следующих компьютеров.

Компьютер в данном контексте называется "маршрутизатор".
Программа на маршрутизаторе обычно называется "процесс".
Алгоритм и формат пакетов, по которым маршрутизаторы обмениваются между собой данными о маршрутах называется "протокол маршрутизации".

CommView умеет отлавливать пакеты, модифицировать пакеты и отправлять их в сеть в нужном количестве. Устраивает?

Как думаешь, сколько это стоит?

Могу только предположить, что на 40 коммутаторах 3COM долго строит Spanning Tree, поэтому процессор занят и отвечает с задержками. Возможно, что у вас появился канал между коммутаторами который случайным образом то отваливается то появляется, что приводит к постоянной перестройке дерева.
Я бы на Вашем месте обратился к производителю оборудования.

Рассуждаете правильно. SSID нужно прописать руками.
Кроме того рассмотрите атаку "ложная точка доступа", когда вы ищете по введенному SSID точку доступа, а подставная точка доступа "услышав" ваши позывы соглашается, что это она имеет этот SSID и пускает вас через себя в Интернет - вы отдаете ей пароли на почту и аську и др и чувствуете, что надо было защититься и от этого вида атаки. То есть надо проводить проверку, что точка доступа именно та, за кого она себя выдает.

Свитч и не должен был Вам доставлять все фреймы (а даже не пакеты). Вообще говоря, идея свитча как раз в том, чтобы лишние фреймы не приходили на все порты подряд (как это просходит в случае хаба), а приходили только на те порты (и соотвественно подключенным к ним хостам), которые действительно эти фреймы ждут. Для вашего случая Вам нужно использовать управляемый свитч, в котором есть возможность настроить один из портов в режим зеркалирования трафика (так называемый span port). Идея этого порта в том, чтобы все фреймы, проходящие через этот свитч приходили в том числе и на этот порт.
Минусы: не все Ethernet фреймы будут умещаться в этот порт, то есть будут потери фреймов (и соответственно IP пакетов, которые из этих фреймов состоят).

Вариант с хабом вам уже предложили. Кстати, свитч работает как хаб в двух случаях: при начальном включении, когда его таблица MAC адресов пуста и, наоборот, когда таблица его MAC адресов переполнена ложными парами MAC-порт - так бывает в случае атак на свитч.

Есть еще вариант поставить IPS прямо на канал и смотреть на пакеты сколько хочется без потерь.

Кто такой высоклассный специалист по ИБ? Чем он отличается от среднего специалиста?

угу. троян или скорее руткит.
Не думаю, что ты имеешь какие то контакты с адресом 222.35.9.246  входящим в блок адресов китайских железнодорожников
inetnum:      222.32.0.0 - 222.63.255.255
netname:      CRTC
descr:        CHINA RAILWAY TELECOMMUNICATIONS CENTER
descr:        22F Yuetan Mansion,Xicheng District,Beijing,P.R.China

что делать?
1. Не пускать ICMP.
2. Удалить троян.

Надеюсь следующим вопросом не будет "Как удалить троян?"

Согласно документации Cisco Security Agent "понимает" где ты находишься - во внутренней сети или снаружи и в зависимости от этого использует разные политики для настройки доступа. Причем все это можно сделать так, чтобы пользователь никак не мог изменить сам настройки доступа. Но вот настроить CSA - это еще та работа...

Спасибо за поздравления.

Вспомнил. Это протокол SDEE (Security Device Event Exchange). Его разработали вместе Cisco, Internet Security Systems (теперь это IBM) и Sourcefire. А до него был протокол IDMEF. Но, похоже, оба не прижились. Только Cisco SDEE поддерживает зачем-то.
Дело в том, что есть системы, которые умеют читать логи любого устройства в его формате родном и переводить в нормированный вид. Например IBM Tivoli Security Operation Manager (TSOM)

Мне интересно отловила ли она какой-то неизвестный вирус у вас?
Что-то меня гложут сомнения в эффективности ее работы.

Вообще потрясяюще как много люди говорят про то, что им "надо бороться со спамом, а то он уже достал", а что-либо сделать не хотят. Ту же простейшую задержку включить на сервере. Видимо "борьба со спамом" у них ассоциируется с "тратой денег" или "покупкой антиспама"

Любая программа названная словом "сниффер" а также "IDS" и "IPS" подойдет.

Shanker, Евгения это она А презентацию лучше смотреть английскую, поскольку при переводе всегда что-нибудь теряется. В google ее легко найти.

Уфф. Нарыл расшифровку: нашел английскую презентацию - там написано, что СAM это Content Addressable Memory.
Получается, что правильный перевод не "CAM атаки", а "атаки на CAM"

webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов?
Я вижу эту аббревиатуру только тут: http://www.cisco-events.ru/SecurityDay30Nov2007/download/l2.pdf.

Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными.
В общем на защите layer 2 можно диссертацию написать

webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов?
Я вижу эту аббревиатуру только тут: http://www.cisco-events.ru/SecurityDay30Nov2007/download/l2.pdf.

Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными.
В общем на защите layer 2 можно диссертацию написать