如何能夠快速檢測定位出局域網中的 A R P病

毒電腦?面對著局域網中成百臺電腦， 一個一個地

檢測顯然不是好辦法。 其實我們只要利用 A R P病

毒的基本原理 ： 發送偽造的 A R P欺騙廣播， 中毒電

腦自身偽裝成網關的特性， 就可以快速鎖定中毒電

腦。 可以設想用程序來實現以下功能： 在網絡正常

的時候， 牢牢記住正確網關的I P地址和 MA C地址，  

并且實時監控來 自全網的 A R P數據包， 當發現有某

個 A R P數據包廣播， 其 I P地址是正確網關的 I P地

址， 但是其 MA C地址竟然是其它電腦的 MA C地址

的時候， 這時， 無疑是發生了 A R P欺騙。 對此可疑

MA C地址報警， 再根據網絡正常時候 的 I P—MA C 

地址對照表查詢該電腦 ， 定位出其 I P地址， 這樣就

定位出中毒電腦了。 以下是幾種不同的檢測 A R P 

中毒電腦的方法。    ． 

4 ． 1 命令行法

這種方法比較簡便， 不利用第三方工具， 利用系

統 自帶的A R P命令即可完成。 上文已經說過， 當局

域網中發生 A R P欺騙的時候 ， A R P病毒電腦會向全

網不停地發送 A R P欺騙廣播， 這時局域網中的其它

電腦 就會動態更新 自身的 A R P緩存表， 將網關的

MA C地址記錄成 AR P病毒電腦的MA C地址， 這時

候我們只要在其它受影響的電腦中查詢一下當前網

關的 MA C地 址， 就知道中毒電腦的 MA C地址了， A R P—a ， 需要在 c md 命令提示行下輸

入。 輸入后的返回信息如下： 

I n t e r n e t   Add r e s s   Ph y s i c a l   Ad d r e s s   Ty p e1 9 2． 

1 6 8． 0． 1   O O一5 O一5 6一e 6—49-5 6   d y n a mi c 

這時， 由于這個電腦的 A R P表是錯誤的記錄，  

因此， 該 MA C地址不是真正網關的MA C地址， 而是

中毒電腦的 MAC地址!這時， 再根據網絡正常時，  

全網的I P—MAC地址對照表， 查找中毒電腦的 I P 

地址就可以了。 由此可見， 在網絡正常的時候， 保存

一

個全網電腦的I P—M A C地址對照表是多么的重

要。 可以使用 n b t s c a n工具掃描全網段的I P地址和

MA C地址， 保存下來， 以備后用。  

4 ． 2 工具軟件法

現在網上有很多 A R P病毒定位工具， 其中做得

較好的是 A n t i   A R P ( 又稱 A R P防火墻) ， 當局域網

中存在 A R P欺騙時， 該數據包會被A n t i   A R P記錄，  

該軟件會以氣泡的形式報警。 這時， 我們打開軟件

分析接收到的 A R P包得到欺騙機的 I P地址， ， 即可

快速定位出中毒電腦。  

4 ． 3  S n i f f e r 抓包嗅探法

當局域網中有 A R P病毒欺騙時， 往往伴隨著大

量的A R P欺騙廣播數據包， 這時， 流量檢測機制應

該能夠很好的檢測出網絡的異常舉動， 此時 E t h e r e a l 

這樣的抓包工具就能派上用場。  

用這個軟件就可以查出哪臺電腦正向全網發送

大量的A R P廣播包 ， 一般來講， 局域網中有電腦發

送 A R P廣播包的情況是存在的， 但是如果不停地大

量發送， 就很可疑了。 而這臺大量發送 A R P廣播包

的 電腦正是一個 A R P中毒電腦。  

以上 3種方法有時需要結合使用， 互相印證， 這

樣可以快速準確地將 A R P中毒電腦定位出來。 通 的網絡中斷， 以免其繼續發包干擾全網的運行。 其

次利用最新的殺毒軟件進行全盤殺毒。

過上述方法， 找到中毒電腦后， 首先應該把中毒電腦