Есть такой сканер Retina http://www.eEye.com/html/Products/Retina/
Так вот он позволяет увидеть MAC-адрес удаленной машины, но только
если на удаленной машине Windows NT/95/98
Linux-овые MAC'и Retin'a не видит.

Дополнение

Вот моя невнимательность: у тебя случай сложнее - ip -подделан

imho это легко чиниться, звонишь провайдеру, и говоришь что нужно помочь, либо пойдешь к другому провайдеру, надо полагать что провайдер согласится, далее вместе с провайдером смотришь откуда к тебе идут пакеты (интерфейс какой, etc...) связываешся с тем провайдером от которого идут эти пакеты и так далее до выяснения полного маршрута.

Скажи, а что ты стал бы делать когда б узнал MAC адрес сетевухи злоумышленника? ;)

2mator: Данные в arp кэше устаревают через пять минут, поэтому если даже
такую акцию и проводить то физически это не возможно. Это надо специально
договариваться с провайдерами.

Я вот думаю, согласятся ли !!провайдеры!! писать в логи mac'и чтоб при атаке
централизованно определить источник. Люди, как вы вообще с dos'ом
боритесь, несчитая фильтрации пакетов?

вообще-то против dos нет защиты, акромя как выдернуть сетевой шнур, запретить проходить пакеты определенного протокола или с помощью встроенных средств сервиса, на который напущен dos.

Это понятно, закрыть через iptables скажем, но как-нибуть можно вычеслить
от куда долбят? Может почитать где нибуть есть чего.

Есть такая програмка iptraf - предназначена для мониторинга сетевого трафика на ЛЮБОМ работающем интерфейсе машины. В настройках можно установить просмотр mac-адресов. И вааще програмка имеет много других полезных функций. А чтобы не доставали, настрой ipchains для борьбы со спуффингом. И поставь portsentry - немного разгрузит голову (но не заменит её ;-).

Никак не определишь, отбрасываем вариант с обхождением всех роутеров попавшихся по дороге (за нереальностью).
iptables/ipchains (+ syncookies если http) - не спасет отца Русской демократии, но несколько облегчит жизнь.