用命令行方法搜索中ARP地址欺骗病毒的电脑

如何能够快速检测定位出局域网中的ARP病毒电脑？

面对着局域网中成百台电脑， 一个一个地检测显然不是好办法。 其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播， 中毒电脑自身伪装成网关的特性， 就可以快速锁定中毒电脑。 可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确网关的IP地址和MAC地址， 并且实时监控着来自全网的ARP数据包， 当发现有某个ARP数据包广播， 其IP地址是正确网关的IP地址， 但是其MAC地址竟然是其它电脑的MAC地址的时候， 这时， 无疑是发生了ARP欺骗。 对此可疑MAC地址报警， 在根据网络正常时候的IP－MAC地址对照表查询该电脑， 定位出其IP地址， 这样就定位出中毒电脑了。 下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便， 不利用第三方工具， 利用系统自带的ARP命令即可完成。 当局域网中发生ARP欺骗的时候， ARP病毒电脑会向全网不停地发送ARP欺骗广播， 这时局域网中的其它电脑就会动态更新自身的ARP缓存表， 将网关的MAC地址记录成ARP病毒电脑的MAC地址， 这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址， 就知道中毒电脑的MAC地址了， 查询命令为  ARP －a， 需要在cmd命令提示行下输入。 输入后的返回信息如下：

Internet Address      Physical Address        Type192.168.0.1          00-50-56-e6-49-56      dynamic

这时， 由于这个电脑的ARP表是错误的记录， 因此， 该MAC地址不是真正网关的MAC地址， 而是中毒电脑的MAC地址！这时， 再根据网络正常时， 全网的IP—MAC地址对照表， 查找中毒电脑的IP地址就可以了。 由此可见， 在网络正常的时候， 保存一个全网电脑的IP—MAC地址对照表是多么的重要。 可以使用nbtscan工具扫描全网段的IP地址和MAC地址， 保存下来， 以备后用。

……