二、 命令行法：在受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，在cmd命令提示行下输入查询命令为arp －a。这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时在根据全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。如果我们没有对IP地址和MAC地址进行绑定，甚至MAC地址也没有记录，此时就可以使用以下策略：在能上网的计算机上，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来；如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，再运行arp –a。

    三、Sniffer 抓包嗅探法：当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动。局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。如此台192.168.0.109 电脑正是一个ARP中毒电脑。图二

Sniffer 抓包嗅探

    此时利用网络监视器就可以抓取网络中的数据包，先查出发送arp数据的电脑的IP(可能是假的)及MAC地址，然后找对应的机器就很容易找到中毒的机器了。