مک اکانت MAC Accounting

استفاده از fake ip ( همان IP Spoofing) در حملات به شبکه ها یکی راه کار ها  جهت مخفی کردن آدرس ip  شخص حمله کننده است و لذا یک روش بسیار مرسوم محسوب می شود. به طور مثال فرض کنید که در داخل LAN ترافیک  اینترنت برای یک IP  خاص بسیار زیاد است. شما به فرد مخاطی توضیح می دهید و وی مدعی می شود که اصلا مصرف اینترنت نداشته است. شک شما بگونه ای برانگیخته می شود که مبادا کسی در داخل شبکه IP خود را با آدرس IP شخص اینترنت دار عوض کرده و در حال استفاده بیرویه از اینترنت می باشد و یا اینکه حتی شما از NATبرای ارائه سرویس اینترنت استفاده می کنید و مشکل مشابهی رخ داده است.
و اما راه حل …. یکی از راه کار هایی که در IOS جهت استفاده از Accounting قرار داده است “MAC address accounting” می باشد. عملکرد آنه بسیار مشابه IP Accounting در لایه ۳ می باشد تنها با این تفاوت که بر روی interface ها تعداد مجموع packet های ورودی و خروجی را برای MAC address ها ثبت می کند. به همین دلیل یکی از کاربرد های خاص آن تشخیص میزان مصرف کاربران می باشد. با استفاده از این قابلیت ، ترافیک ۵۱۲ آدرس ورودی و ۵۱۲ آدرس خروجی قابل ثبت کردن می باشد. به علاوه timestamp مربوط به packet ها پس از آخرین ارسال و / یا دریافت ثبت و یا بروزرسانی خواهد شد.
برای استفاده از MAC accounting و  مشاهده اطلاعات از آن کافیست مطابق زیر عمل کنید:

Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip accounting mac-address input
Router(config-if)#ip accounting mac-address output

Router#sh interfaces gigabitEthernet 0/0 mac-accounting
GigabitEthernet0/0 ### Connected To LAN ###
Input  (۲۲۶ free)
۰۰۰۵٫۵d77.634c(0  ):  ۲۴۷ packets, 23781 bytes, last: 50340ms ago
۰۰۱f.c6e4.e3df(1  ):  ۳۱۶۲۱۱ packets, 200965427 bytes, last: 4ms ago
۰۰۱۶٫e662.b020(2  ):  ۱۲ packets, 2070 bytes, last: 503452ms ago
۰۰۱۶٫e638.71bb(2  ):  ۱۹ packets, 2875 bytes, last: 324892ms ago
۰۰۱۳٫d45e.108d(4  ):  ۱۷ packets, 2994 bytes, last: 93636ms ago
۰۰۱a.4df4.b116(4  ):  ۲۲ packets, 3081 bytes, last: 264952ms ago
۰۰۱۶٫۳۶f1.f521(5  ):  ۲۱۸۳۱ packets, 2661234 bytes, last: 4ms ago
Router#sh arp | in 0016.36f1.f521
Internet  ۱۷۲٫۱۶٫۱٫۱۱۳            ۰   ۰۰۱۶٫۳۶f1.f521  ARPA   GigabitEthernet0/0
Router#clear counters gigabitEthernet 0/0
Clear “show interface” counters on this interface [confirm]