用命令行方法查找中ARP地址欺骗病毒的电脑

如何能够快速检测定位出局域网中的ARP病毒电脑？
面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。
命令行法
这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为  ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address      Physical Address        Type
192.168.0.1          00-50-56-e6-49-56      dynamic

【相关文章】

• 如何清除局域网中的ARP病毒

• 让网络不再瘫痪 ARP病毒的解决措施

• 浏览更多ARP病毒相关资讯与文章