ARP病毒电脑的定位方法_ARP原理

如何能够快速检测定位出局域网中的 A R P病

毒电脑?面对着局域网中成百台电脑， 一个一个地

检测显然不是好办法。 其实我们只要利用 A R P病

毒的基本原理 ： 发送伪造的 A R P欺骗广播， 中毒电

脑自身伪装成网关的特性， 就可以快速锁定中毒电

脑。 可以设想用程序来实现以下功能： 在网络正常

的时候， 牢牢记住正确网关的I P地址和 MA C地址，  

并且实时监控来 自全网的 A R P数据包， 当发现有某

个 A R P数据包广播， 其 I P地址是正确网关的 I P地

址， 但是其 MA C地址竟然是其它电脑的 MA C地址

的时候， 这时， 无疑是发生了 A R P欺骗。 对此可疑

MA C地址报警， 再根据网络正常时候 的 I P—MA C 

地址对照表查询该电脑 ， 定位出其 I P地址， 这样就

定位出中毒电脑了。 以下是几种不同的检测 A R P 

中毒电脑的方法。    ． 

4 ． 1 命令行法

这种方法比较简便， 不利用第三方工具， 利用系

统 自带的A R P命令即可完成。 上文已经说过， 当局

域网中发生 A R P欺骗的时候 ， A R P病毒电脑会向全

网不停地发送 A R P欺骗广播， 这时局域网中的其它

电脑 就会动态更新 自身的 A R P缓存表， 将网关的

MA C地址记录成 AR P病毒电脑的MA C地址， 这时

候我们只要在其它受影响的电脑中查询一下当前网

关的 MA C地 址， 就知道中毒电脑的 MA C地址了， A R P—a ， 需要在 c md 命令提示行下输

入。 输入后的返回信息如下： 

I n t e r n e t   Add r e s s   Ph y s i c a l   Ad d r e s s   Ty p e1 9 2． 

1 6 8． 0． 1   O O一5 O一5 6一e 6—49-5 6   d y n a mi c 

这时， 由于这个电脑的 A R P表是错误的记录，  

因此， 该 MA C地址不是真正网关的MA C地址， 而是

中毒电脑的 MAC地址!这时， 再根据网络正常时，  

全网的I P—MAC地址对照表， 查找中毒电脑的 I P 

地址就可以了。 由此可见， 在网络正常的时候， 保存

一

个全网电脑的I P—M A C地址对照表是多么的重

要。 可以使用 n b t s c a n工具扫描全网段的I P地址和

MA C地址， 保存下来， 以备后用。  

4 ． 2 工具软件法

现在网上有很多 A R P病毒定位工具， 其中做得

较好的是 A n t i   A R P ( 又称 A R P防火墙) ， 当局域网

中存在 A R P欺骗时， 该数据包会被A n t i   A R P记录，  

该软件会以气泡的形式报警。 这时， 我们打开软件

分析接收到的 A R P包得到欺骗机的 I P地址， ， 即可

快速定位出中毒电脑。  

4 ． 3  S n i f f e r 抓包嗅探法

当局域网中有 A R P病毒欺骗时， 往往伴随着大

量的A R P欺骗广播数据包， 这时， 流量检测机制应

该能够很好的检测出网络的异常举动， 此时 E t h e r e a l 

这样的抓包工具就能派上用场。  

用这个软件就可以查出哪台电脑正向全网发送

大量的A R P广播包 ， 一般来讲， 局域网中有电脑发

送 A R P广播包的情况是存在的， 但是如果不停地大

量发送， 就很可疑了。 而这台大量发送 A R P广播包

的 电脑正是一个 A R P中毒电脑。  

以上 3种方法有时需要结合使用， 互相印证， 这

样可以快速准确地将 A R P中毒电脑定位出来。 通 的网络中断， 以免其继续发包干扰全网的运行。 其

次利用最新的杀毒软件进行全盘杀毒。

过上述方法， 找到中毒电脑后， 首先应该把中毒电脑