<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1498" name=GENERATOR>
<STYLE>@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.25in 1.0in 1.25in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline
}
SPAN.EmailStyle17 {
        COLOR: windowtext; FONT-FAMILY: Arial; mso-style-type: personal-compose
}
DIV.Section1 {
        page: Section1
}
</STYLE>
</HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2>Well, a starting point might be to use an SNMP utility to 
dump the arp cache on the local router....</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2>I use getarp.exe from NetLatency.com's download page <A 
href="http://www.netlatency.com/products/utilities.asp">http://www.netlatency.com/products/utilities.asp</A></FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2>It runs from a windows command line window, and so can be 
tied in to other scripts</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=658313616-26042005><FONT face=Arial 
color=#0000ff size=2>Bob</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> snort-users-admin@...3471...ge.net 
[mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>John 
Hally<BR><B>Sent:</B> Tuesday, April 26, 2005 9:32 AM<BR><B>To:</B> 
snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] Rogue system 
detection<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Hello 
All,<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">I have a question that's not 
necessarily a snort thing, but I have no idea what other list to ask, so here 
goes.  What are people using out there for rogue system detection?  
I'm trying to figure out how to passively detect when a 'new' system comes 
online in the local network and possibly detect the os and such.  I imagine 
the tool would have to be able to match MAC addresses to deal with changing 
addresses and DHCP, along with report/alert when something new comes 
online.  Maybe RNA?<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Thanks in 
advance!<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">John 
H.<o:p></o:p></SPAN></FONT></P></DIV></BODY></HTML>