如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

    识别ARP
    可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播，来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候，ARP欺骗发生了。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。

    一般情况下，被ARP被攻击后，局域网内会出现以下两种现象：
    1、不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
    2、计算机不能正常上网，出现网络中断的症状。
    很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。当你的局域网内出现上面症状后，根据局域网大小，方可使用以下三种方法来检测ARP中毒电脑：

    检测ARP攻击
    一、 工具软件法：网上已经有很多ARP病毒定位工具软件，目前网络中做得较好的是ARP防火墙。打开ARP防火墙，输入网关IP地址后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址，接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。如图1

欺骗数据详细记录