М, да. Почитал, полистал, подумал, попробовал.
Выводы. Выводы, скажем так, неутешительные.
На самом деле, фигня какая-то получается.

В http://www.unix.org.ua/rfc/rfc2365.html говориться:

IPv6 SCOP RFC 1884 Description IPv4 Prefix
===============================================================
0 reserved
1 node-local scope
2 link-local scope 224.0.0.0/24
3 (unassigned) 239.255.0.0/16
4 (unassigned)
5 site-local scope
6 (unassigned)
7 (unassigned)
8 organization-local scope 239.192.0.0/14
A (unassigned)
B (unassigned)
C (unassigned)
D (unassigned)
E global scope 224.0.1.0-238.255.255.255
F reserved
(unassigned) 239.0.0.0/10
(unassigned) 239.64.0.0/10
(unassigned) 239.128.0.0/10

... For example, in the Local Scope defined above, 239.255.255.0/24 is reserved for relative allocations. The de-facto relative assignment "0", (i.e., 239.255.255.255 in the Local Scope) currently exists for SAP [SAP]. The next relative assignment, "1", corresponds to the address 239.255.255.254 in the Local Scope...

И далее.
На http://www.iana.org/assignments/multicast-addresses сказано:
Addresses within the 232.0.1.0-232.255.255.255 are dynamically allocated by hosts when needed [RFC-ietf-ssm-arch-07.txt]
По русски, из всего сказанного получается что – адресное пространство в диапазоне 232.0.1.0-232.255.255.255 не используется и распределяются хостами динамически, когда необходимо. Я так понимаю.
Но в то же время:

Address/Range Description Reference
------------------------- ---------------------------------- ---------
239.255.000.000-239.255.255.255 Site-Local Scope [Meyer,RFC2365]

Relative Description Reference
--------- ------------------------------------------------- ---------
254-255 Reserved - To be assigned by the IANA


Т.е. получается что IP 239.255.255.250, реально принадлежит Internet Assigned Numbers Authority.
Тогда, что может долбиться в IPшник? У меня нет программ сделанных этой конторой! Тогда остаются три варианта:
1) Какой-то паразит, опять же принадлежащий IANA. Но оно им надо? А может быть и надо, кто его знает.
2) Паразит, который был создан для атаки на указанный IP. Но эта фигня у меня висит заблокированной уже несколько лет. И вылезла, на сколько я помню, сразу же после установки винды.
Наврядли это паразит. Базы обновляю регулярно, неоднократно тестил различные антивирусы (антитрояны, антишпионы ...), что-нибудь все равно бы просигналило.
Остается вариант 3) Это прикол от мокрософтов. А если взять во внимание их последний прикол с WMF, то, наверное, правда, что они следят за всеми юзерами.
Так что придется мириться с тем, что логи завалены сообщениями о попытки винды выйти на...
Вот. Однако.
Может я и неправ. Поправьте.

Подскажите софт для постояного слежения IP+MAC в локалке для обнаружения несанк. подключении в сетку чужаков.
Неплохо бы и видеть какие и куда прошли пакеты.

Да-а-а... Это меня убило:
Т.е. получается что IP 239.255.255.250, реально принадлежит Internet Assigned Numbers Authority.
Тогда, что может долбиться в IPшник? У меня нет программ сделанных этой конторой!...=))))

Ладно, тогда попробую объяснить... Они не принадлежат этой организации, она распределяет это адресное пространство и уж конечно кто делает программы тут не причем... А эти адреса используются для IP-мультикастинга (ну это обяснять не собираюсь, это надо читать доки самому...). Используемый порт в этой связи говорит скорее всего как раз о работе той службы, на которую ссылается первая ссылка. Для выяснения зачем она нужна - это тоже доки читай уже по ней. Суть процесса объяснять - неблагодарное дело, если по этому вопросу в инете уже полно описаний (конечно большей частью на инглише, но и на русском можно найти достаточно). Ты хоть прочитал статьи, на которые первые 4-е ссылки указываются?

Неплохо бы и видеть какие и куда прошли пакеты.
Так это может сказать только маршрутизатор (шлюз).
С точки зрения накопления статистической информации о функционировании сети на 3-м уровне, самым старым протоколом является Cisco NetFlow.
В нем информацию могут отдавать или маршрутизаторы Cisco. Или существуют клиенты (probe) для *nix.

Так это может сказать только маршрутизатор (шлюз).Т. е. аппаратное решение.
Мне главное:
- для заточенных юзеров в локалке (IP+MAC) - слежение куда бродят.
- чужак в локалке (MAC) - тревога!

Т. е. аппаратное решение.
Я же говорю, если шлюз програмный, на Unix, то возможно установить клиента отдающего информацию о пакетах ходящих через шлюз.

Для фиксирования ВСЕХ пакетов, или тем паче, Ethernet фреймов в сети используется след. технология.
1) При использовании разделяемой среды (то бишь повторителя/reapeter, в обиходе его по неграмотности именуют хабом/hub), нужно прицепить станцию у которой сетевая карта работает в режиме прослушивания (Promiscuous mode) + работает софт которой пишет и/анализирует трафик.
2) В коммутируемой среде вариант 1 невозможен.
Производители коммутаторов исхитрились вот как, обычно на управляемых (интеллектуальных) коммутаторах, возможен перевод любого порта коммутатора в режим прослушивания, т.е. на избранном порту дублируется весь трафик (имитация разделяемой среды). Соответственно к данному порту подключается станция прослушивания.

Главным недостатком этих метод является то, что обыкновенная станция не успевает анализировать трафик высоконагруженных мультигигабитных коммутаторах (На 100 мб - достаточно легко), однако мощные коммутаторы обычно сами могут отдавать информацию о трафике в одном из стандартных протоколов, скажем том же NetFlow.


- чужак в локалке (MAC) - тревога
Я к сожалению не решал такие задачи програмными способами.

Обычно в крупных сетях процесс выглядит по другому.
В зависимости от MAC адреса, коммутатор автоматически переводит станцию в один из VLAN.
Если MAC не описан в базе коммутатора, то или порт отключается вообще, или переводится в VLAN-песочницу "иде его уже поджидали люди с добрыми лицами, медленно сжимая кольцо"

сетевая карта работает в режиме прослушивания (Promiscuous mode) + работает софт которой пишет и/анализирует трафик. можно подробнее про режим карты + пример софта

Rudy
подробнее про режим карты
kim-aa имеет в виду сниффер.

Софт.
1) Больше ориентирован на оценку среды передачи, коллизии, широковещательного домена: Fluke Network Protokol Expert.
2) Именно на анализ сети
Network Associates Sniffer Portable.
Network Associates Sniffer Distributed.
3) Нужно поспрошать у Юниксоидов, там такого добра навалом.

А карту в режим прослушки обычно переводит сам софт. Только надо помнить ,что пока вы слушаете, общаться с сетью через данный интерфейс Вы не можете, за сим если ставить программу на постоянно фунциклирующий сервер, то он должен обладать 2-мя интерфейсами, один для управления, а второй для прослушки.

как поменять свой IP? и вообще возможно ли ето?

легко :) какая ОС?

уточни, о каком из IP идет речь? Локальный - руками в свойствах сети либо, если IP выдается DHCP-сервером, то - пивом в соответствующей админской)
Инетовский - при диалапе выдается и меняется динамически. Постоянный IP выделяется поставщиком инет-услуг либо хостером, обслуживающим доменное имя.

os win xp sp1, хотелось бы поменять инетовский IP. возможно???

существует масса пограмм скрывающих или изменяющих твой IP путём работы через анонимные прокси-серверы. хотя бы эта - IP Address Changer смотри тут (http://djv.ru/?action=news&id=2635)

Cуществует такая прога зовут её Hide IP Platinym она использует анонимные прокси сервера...да меня тогда какие-то не хорошие люди домогались - прога помогла :)

спасибо!!!
дальше думаю разберусь. :)

Я вот тут прочитал про HIPPlatinum, он оказывается не очень хорош, т.к. пока ты бродишь по просторам инета под чужим ip кто - то пользуется твоим.
вывели это вот почему, т.к там много прокси серверов, откуда же они взяли их? просто мы временно меняемся IP с тем, кто тоже пользуется этой прогой.
а вот теперь хотелось бы узнать правда ли это?

и еще чуток можно ли как нибудь адаптирвать IP Address Changer для оперы. прога мне понравилась, но в опере нет. :(
спасибо.

пока ты бродишь по просторам инета под чужим ip кто - то пользуется твоим
аххренеть, дайте две
байда. Перечитай принцип работы программы, а не ненаучные измышления ламеров.

пока ты бродишь по просторам инета под чужим ip кто - то пользуется твоим
ААА :o я теперь спать не буду!!!!

Объесните пожалуйста в чем разнится с точки зрения безопасность ip адресс выделенный (чистый) "213.234.12.240" и адрессом не выделенным т.е адрес локальной сети провайдера, который выдается DHCP или статически выдаваемый из диапазона своей сети(212.212.23.11).

Надеюсь вы меня поймете чего я хочу.