教你用命令行查找ARP病毒母机

如何迅速检测和定位局域网中的ARP病毒电脑？

在局域网中，面对众多电脑，逐一检测显然效率低下。其实，我们可以利用ARP病毒的工作原理来快速定位中毒的电脑。ARP病毒通过发送伪造的ARP欺骗广播，让中毒的电脑伪装成网关，那么我们就可以通过识别这些异常行为来迅速定位病毒。

我们可以设计一个程序，在网络正常运行时，记录所有正确网关的IP地址和MAC地址，并实时监控来自全网的ARP数据包。一旦发现某个ARP数据包的广播IP地址是网关的IP地址，但其MAC地址却是其他电脑的MAC地址，这就很可能是ARP欺骗行为。我们可以对该可疑MAC地址进行报警，并通过之前记录的IP－MAC地址对照表，查找到对应的IP地址，从而迅速定位出中毒的电脑。

接下来，让我们通过命令行方式来进行ARP中毒电脑的检测。这是一种简便的方法，不需要第三方工具，只需利用系统自带的ARP命令就能完成。

当局域网发生ARP欺骗时，ARP病毒电脑会不断向全网发送ARP欺骗广播。这时，其他受影响的电脑会更新自身的ARP缓存表，将网关的MAC地址记录为ARP病毒电脑的MAC地址。我们只需在其他受影响的电脑中查询当前网关的MAC地址，就可以知道中毒电脑的MAC地址。查询命令为“arp -a”，需要在cmd命令提示符下输入。

输入后的返回信息将显示Internet Address和Physical Address，例如：

```plaintext

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

```

由于这个电脑的ARP表是错误记录，因此这个MAC地址并非真正网关的MAC地址，而是中毒电脑的MAC地址。根据网络正常时的IP—MAC地址对照表，我们就可以查找中毒电脑的IP地址。

我们在网络正常运行时，保存一份全网电脑的IP—MAC地址对照表是非常重要的。可以使用nbtscan工具扫描全网段的IP地址和MAC地址，以便日后使用。

为了更好地理解和操作，以下是一些常用的ARP命令：

arp -a：查看MAC地址。

arp -D：清空ARP缓存。

arp -s：绑定网关，格式为arp -s ip mac。例如，ARP -S 网关IP 网关MAC。

通过以上方法，我们能够迅速检测和定位局域网中的ARP病毒电脑，保障网络的安全和稳定。