用命令行方法查找中ARP地址欺骗病毒的电脑

如何快速检测并定位局域网中的ARP病毒电脑？
面对局域网内的上百台电脑，一台一台的检测显然不是一个好办法。其实只要利用ARP病毒的基本原理:发送虚假的ARP欺骗广播，以及中毒电脑伪装成网关的特点，就可以快速锁定中毒电脑。试想用一个程序实现以下功能:网络正常时，牢牢记住正确网关的IP地址和MAC地址，实时监控传入的ARP数据包。当发现有ARP包广播，其IP地址是正确网关的IP地址，但其MAC地址实际上是其他电脑的MAC地址，那么，毫无疑问发生了ARP欺骗。对这个可疑的MAC地址进行报警，在正常网络时间根据IP-MAC地址对照表查询电脑，定位其IP地址，从而定位中毒电脑。下面详细介绍如何使用命令行检测ARP中毒的电脑。
命令行方法
这种方法相对简单。使用系统自带的ARP命令即可完成，无需使用第三方工具。*局域网内发生ARP欺骗时，ARP病毒电脑会不断向电脑发送ARP欺骗广播。这时，局域网中的其他计算机会动态更新自己的ARP缓存表，将网关的MAC地址记录到ARP病毒计算机的MAC地址中。这时候我们只需要在其他受影响的电脑中查询当前网关的MAC地址，就可以知道中毒电脑的MAC地址。查询命令是ARP-A，需要在cmd命令行输入。返回的信息如下:
Internet address物理地址类型
192 . 168 . 0 . 1 00-50-56-E6-49-56动态
此时由于这台电脑的ARP表是不正确的记录，MAC地址不是真正网关的MAC地址，而是MAC地址。此时根据网络正常时的IP-MAC地址对照表，找到被感染电脑的IP地址就足够了。由此可见，在网络正常的情况下，保持一台电脑的IP-MAC地址对照表是多么重要。您可以使用nbtscan工具扫描该网段的IP地址和MAC地址，并保存下来以备后用。