迅速找到ARP病毒源

第一招：使用Sniffer抓包　　在網(wǎng)絡(luò)內(nèi)任意一臺(tái)主機(jī)上運(yùn)行抓包軟件， 捕獲所有到達(dá)本機(jī)的數(shù)據(jù)包。 如果發(fā)現(xiàn)有某個(gè)IP不斷發(fā)送請(qǐng)求包， 那么這臺(tái)電腦一般就是病毒源。 原理：無論何種ARP病毒變種， 行為方式有兩種， 一是欺騙網(wǎng)關(guān)， 二是欺騙網(wǎng)內(nèi)的所有主機(jī)。 最終的結(jié)果是， 在網(wǎng)關(guān)的ARP緩存表中， 網(wǎng)內(nèi)所有活動(dòng)主機(jī)的MAC地址均為中毒主機(jī)的MAC地址；網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中， 網(wǎng)關(guān)的MAC地址也成為中毒主機(jī)的MAC地址。 前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)包被發(fā)到中毒主機(jī)， 后者相反， 使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機(jī)。 　

第二招：使用arp -a命令　任意選兩臺(tái)不能上網(wǎng)的主機(jī)， 在DOS命令窗口下運(yùn)行arp -a命令。 例如在結(jié)果中， 兩臺(tái)電腦除了網(wǎng)關(guān)的IP， MAC地址對(duì)應(yīng)項(xiàng)， 都包含了192.168.0.186的這個(gè)IP， 則可以斷定192.168.0.186這臺(tái)主機(jī)就是病毒源。 原理：一般情況下， 網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。 正常情況下， 一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。 如果有其他主機(jī)的MAC地址， 說明本地主機(jī)和這臺(tái)主機(jī)最后有過數(shù)據(jù)通信發(fā)生。 如果某臺(tái)主機(jī)（例如上面的192.168.0.186）既不是網(wǎng)關(guān)也不是服務(wù)器， 但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動(dòng)， 且此時(shí)又是ARP病毒發(fā)作時(shí)期， 那么， 病毒源也就是它了。

第三招：使用tracert命令　　在任意一臺(tái)受影響的主機(jī)上， 在DOS命令窗口下運(yùn)行如下命令：tracert 61.135.179.148。 　假定設(shè)置的缺省網(wǎng)關(guān)為10.8.6.1， 在跟蹤一個(gè)外網(wǎng)地址時(shí)， 第一跳卻是10.8.6.186， 那么， 10.8.6.186就是病毒源。 原理：中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間， 扮演了“中間人”的角色。 所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包， 由于錯(cuò)誤的MAC地址， 均被發(fā)到了中毒主機(jī)。 此時(shí)， 中毒主機(jī)越俎代庖， 起了缺省網(wǎng)關(guān)的作用。