La station en question n'est pas obliger a broadcaster son IP cela ne t'avance donc pas a grand chose

Ghost

Salut,
arp request suffit,
tu auras l'adresse mac source.
en plus, la réponse à arp n'est pas un broadcast, donc si le réseau est composé de switchs, tu ne verras pas la réponse.
mais, si le réseau est grand tu risques d'avoir pas mal de monde. et ... Voili Voilou Voila !

Bah justement le réseau est gran et tout le flux est redirigé sur un port du switch donc je peu avoir tout les reply qui passent si je veux..

Par contre, tu n'as pas besoin de tout monitorer:
vu que l'arp request est diffusé (en broadcast) , il est retransmis sur tous les ports du switch (du moins, ceux dans le vlan).
et ... Voili Voilou Voila !

Et que va t'il se passer si l'intrus a une adresse ip fixe??? je pourrai qd meme le choper sur le réseaux??

Oui exact.. mais s'il se trouve a 5000 Km de chez vous?
que de recherche
Ghost

S'il est à 5000 km, on ne peut pas le voir par les ARP:
les arp sont limités au réseau ip local et ne traversent pas les routeurs : heureusement.
je dirai même que les routeurs sont faits pour ça: empêcher la propagation des arp (et des broadcast en général) partout.
adresse ip fixe:
Il ne faut pas confondre ARP et DHCP.
ils sont même un peu l'inverse l'un de l'autre: arp permet de connaitre l'adresse mac à partir de l' adresse ip et dhcp le contraire: à partir de l'adresse mac, on affecte une adresse ip.
mais, en réalité, ils ne servent pas dutout à la m^m chose.
il faut avoir OBLIGATOIREMENT déjà une adresse ip pour emettre un ARP, qu'elle soit fixe ou dynamique.
ou plus exactement une adresse de niveau 3, car ARP n'est pas utilisé que pour IP, il est m^m indépendant de ip.
Par contre ip a besoin de arp pour communiquer sur un réseau local multipoint (pour faire correspondre les adresses niveau 2 aux adresses niveau 3).
http://www.commentcamarche.net/internet/arp.php3 et ... Voili Voilou Voila !

Et si l'intrus a une adresse ip fixe,(il soccupe pas du seveur dhcp donc pas de arp pour le choper), et qu'il rentre une adresse mac a la main dans son cache(disons qu'il la connaissai), c'est impossible de le choper ou l'autre machine va faire un broadcast arp pour le connaitre???

S'il rentre son cache arp à la main (arp -s .....), oui bien sûr .
là il n'enverra plus d'arp vers cette adresse. (cache arp statique).
effectivement,
par contre l'autre va faire un arp pour répondre,
Ce n'est pas bien logique car il a normalement toutes les informations dans le paquet reçu, mais c'est bête souvent IP.
d'autant plus que cela surcharge le réseau inutilement :-( et ... Voili Voilou Voila !