如何快速查出局域网内ARP病毒

ARP攻击内网的网络现象：
突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断线。

ARP攻击内网诊断：
1、断线时（ARP攻击木马程序运行时）在内网的PC上执行ARP –a 命令，看见网关地址的mac地址信息不是路由器的真实mac地址；
2、内网如果安装sniffer软件的话，可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。

内网被攻击原因：
ARP攻击木马程序（传奇盗号木马）运行时，将自己伪装成路由器，所有内网用户上网从由路由器上网转为从中毒电脑上网，切换过程中用户会断一次线。

过程用户感觉上网非常慢。

当ARP攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑上网转为从路由器上网，切换过程中用户会再断一次线。

在HiPER上的快速诊断：
1、系统状态—系统信息—系统历史纪录内，可以看见大量的mac地址变化信息，且mac地址都变化成进行
ARP攻击那台电脑的mac地址，或者由同一mac地址变回原来的真实mac地址。

MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时（ARP攻击木马程序运行时），在系统状态—用户统计中，观察到的所有用户的mac地址一致。

内网ARP攻击解决办法：
1、将感染病毒的PC从内网断开，查杀病毒。

2、在PC和路由器上双向绑定对方的IP和MAC地址。

快速确认内网ARP攻击的方法就为大家介绍完了，希望通过以上的介绍能够帮助到大家。

检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：
ipconfig
记录网关IP 地址，即“ Default Gateway ”对应的值，例如“10.87.58.126 ”。

再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址，记录其
对应的物理地址，即“ Physical Address ”值，例如
“00-00-0c-07-ac-0f ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3 ．设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。

用上边介绍的方法确定正确的网关IP 地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令：
arp –s 网关IP 网关物理地址。

内网遭遇ARP攻击查找妙招
当一个网段有好几台服务器无法上网报障时，有可能是内网ARP，马上telnet 到三层交换机上（二层的不行）用show arp（华为设备用dis arp）可以查看到有几个IP地址的MAC 地址相同；记下这几个IP后马上用show logging 命令（华为设备用dis logbuffer）查看日志你会发现其中有一个IP没有日志报错；这个IP就是内网ARP发起者；马上对它采取措施（交换机上shutdown连接此IP的端口或者直接关闭此IP的服务器查杀ARP后才插网线开机）。

如果某台服务器经常有内网ARP时可以考虑为此服务器单独划分一个VLAN以阻断它对整个网段的影响；然后对它彻底处理。

也可做端口镜像后在PC机上抓包分析；但笔者认为没有上面的方法来行快。

如果没有三层交换设备的网络环境可以直接在PC机上抓包分析后做处理。

从sniffer下手揪出ARP病毒的几种方法一，ARP欺骗病毒发作迹象一般来说ARP欺骗病毒发作主要有以下几个特点，首先网络速度变得非常缓慢，部分计算机能够正常上网，但是会出现偶尔丢包的现象。

例如ping网关丢包。

而其他大部分计算机是不能够正常上网的，掉包现象危机。

但是这些不能上网的计算机过一段时间又能够自动连上。

ping网关地址会发现延迟波动比较大。

另外即使可以正常上网，象诸如邮箱，论坛等功能的使用依然出现无法正常登录的问题。

二，确认ARP欺骗病毒发作当我们企业网络中出现了和上面描述类似的现象时就需要我们在本机通过arp显示指令来确认病毒的发作了。

第一步：通过“开始->运行”，输入CMD指令后回车。

这样我们将进入命令提示窗口。

第二步：在命令提示窗口中我们输入ARP-A命令来查询本地计算机的ARP 缓存信息。

在显示列表中的physicaladdress列就是某IP对应的MAC地址了。

考试大提示如果企业没有进行任何MAC与IP地址绑定工作的话，ARP模式列显示的都是dynamic动态获得。

当我们发现arp-a指令执行后显示信息网关地址对应的MAC地址和正确的不同时就可以的确定ARP欺骗病毒已经在网络内发作了。

例如正常情况下笔者网络内网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A，然而执行后却发现192.168.2.1对应的MAC地址为00-10-5c-ac-31-b6。

网关地址MAC信息错误或变化确认是ARP病毒造成的。

第三步：我们用笔将错误的MAC地址记录下来，为日后通过sniffer排查做准备。

接下来我们就应该利用sniffer这个强健的工具来找出病毒根源了。

三，从sniffer下手揪出ARP病毒一般来说的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。

考试大提示如果没有镜像端口直接连接到网络中抓取也可以，只是所抓数据会不全，分析问题的周期比较长。

教你如何检测内网arp攻击【协助工具海蜘蛛】
2010-08-01 12:04
有时网络会出现掉线，有时还会一时可以上一时又上不了。

这可能是受到内网arp攻击，
但是要怎么判断呢？
其实很多路由上都可以直接看出来，下面我做个示例。

如下图，打开路由web控制页面中的信息检测-arp攻击检测，如下图：
设置完后，如果有arp攻击，就会显示出来，如图，内网IP地址为192.168.101.249有arp攻击：
如果以后内网还有掉线现象，检查一下这里就可以了。

另外，在系统设置-报警设置里也可以设置声音报警，如下图：
这样，以后内网一有攻击，路由就会自动报警了，然后看看arp攻击检测，就可以判断是否有arp 攻击了。

如何查看局域网arp网络状况_局域网arp攻击检测
局域网之间通信就是基于mac地址的广播或多播等方式进行的。

而最主要的通信协议就是arp协议。

查看局域网arp网络状况的方法其实很简单，下面由小编告诉你!
查看局域网arp网络状况的方法
打开桌面，点击开始，在开始中点击运行，输入cmd，回车。

在cmd中输入ipconfig /all ，可以看到本机的IP地址。

本机的IP地址如下：
本机的mac地址如下：
mac地址是由6组16进制数组成的地址数据，共48位数据。

通过在cmd中输入arp -a 可以查看本地存储的arp地址数据。

当局域网中出现arp地址欺骗的时候，可以通过arp -d命令将本地存储的arp地址全部清空，重新获取。

重新查看arp地址列表。

通过重新获取arp地址列表，可以解决网络突然掉线的问题。

主要就是防止别的计算机模拟网关来欺骗本机电脑，本地的数据包数据都放到了别的计算机上，而没有发往网关，因
此也就上不了网了。

arp地址列表一清空，重新获取，恢复正常。

看了如何查看局域网arp网络状况的人还看了
1.局域网断网ARP攻击如何检测和修复
2.怎么追踪并查杀局域网ARP病毒
3.如何在命令行下查看局域网内IP地址
4.局域网受到ARP断网攻击怎么办
感谢您的阅读！。

局域网ARP攻击的发现与解决浅析ARP病毒攻击是一个令人非常头痛的问题，但是，如果能够快速检测定位出局域网中的ARP 病毒电脑呢，那么结果就完全不一样了？（注：本人菜鸟一枚，写得不好的地方万望海涵！）很多人可能都有过这样的经历，在酒店或者宾馆住宿的时候，感觉网络出奇的卡，用手机打开个网页都卡得不行。

在目前这种WIFI网络盛行的年代，好一点的宾馆或者酒店一般都会有独立的千兆、万兆光纤专线，次一点的也该是百兆进线；就算满负荷运行，均分到各端口的速率也应该不会低于50KB/S，那么为何会出现这样严重的网络拥塞现象呢？我们从以下几个方面出发探究一下：发现ARP攻击-----------定位ARP攻击-----------解决ARP攻击(1)如何发现ARP攻击？发现ARP攻击其实不难，至少并不像想象的那么难；细细总结了一下方法还是比较多的。

一、360卫士篇打开360卫士---------点击右侧功能大全更多---------选择流量防火墙--------选择局域网防护------------开启局域网防护如果存在ARP欺骗那么该软件会快速弹出提示。

如果手上刚好没有这个软件那怎么怎么办呢？别急，还有办法。

二、DOS命令篇选择计算机开始运行输入CMD 回车输入Arp –a 查看ARP缓存表如果出现有多条IP地址对应一个MAC地址，简那么明显就是ARP在作怪。

三、感官篇最直观的莫过于用户的上网体验，网络延迟较大，丢包严重，以至于用户掉线。

(2)如何定位ARP攻击？一、安天ARP检测工具安天ARP检测工具工具使用很简单，打开就会用。

二、DOS命令检测如果手头一下没这个软件呢？这时也可在客户机使用路由跟踪命令：tracert–，马上就发现第一条不是网关的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

局域网ARP攻击检测方法有哪些同路由的用户就可能会因为网速问题使用各种网络控制软件，对局域网内的用户进行ARP断网攻击，导致内网下所有用户都不能正常上网，怎么解决呢?怎么检测arp攻击?局域网ARP攻击检测方法一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用：arp -a 命令来检查ARP表：点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮，在窗口中输入：arp -a 命令。

如何排查内网ARP断网攻击祸首?局域网ARP攻击检测方法检查ARP列表如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

这时可以通过 arp -d 清除arp列表，重新访问。

2、利用ARP防火墙类软件(如：360ARP防火墙、Anti ARP Sniffer等……)。

二、找出ARP病毒主机1、用arp -d 命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的 arp -a 命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，Windows中有ipconfig /all 命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令马上就发现第一条不是网关机的内网IP，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

查找访问外网路径当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

如何能够快速检测定位出局域网中的 A R P病毒电脑?面对着局域网中成百台电脑，一个一个地检测显然不是好办法。

其实我们只要利用 A R P病毒的基本原理：发送伪造的 A R P欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的I P地址和 MA C地址，并且实时监控来自全网的 A R P数据包，当发现有某个 A R P数据包广播，其 I P地址是正确网关的 I P地址，但是其 MA C地址竟然是其它电脑的 MA C地址的时候，这时，无疑是发生了 A R P欺骗。

对此可疑MA C地址报警，再根据网络正常时候的 I P—MA C地址对照表查询该电脑，定位出其 I P地址，这样就定位出中毒电脑了。

以下是几种不同的检测 A R P中毒电脑的方法。

．4 ． 1 命令行法这种方法比较简便，不利用第三方工具，利用系统自带的A R P命令即可完成。

上文已经说过，当局域网中发生 A R P欺骗的时候， A R P病毒电脑会向全网不停地发送 A R P欺骗广播，这时局域网中的其它电脑就会动态更新自身的 A R P缓存表，将网关的MA C地址记录成 AR P病毒电脑的MA C地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的 MA C地址，就知道中毒电脑的 MA C地址了，A R P—a ，需要在 c md 命令提示行下输入。

输入后的返回信息如下：I n t e r n e t Add r e s s Ph y s i c a l Ad d r e s s Ty p e1 9 2．1 6 8． 0． 1 O O一5 O一5 6一e 6—49-5 6 d y n a mi c这时，由于这个电脑的 A R P表是错误的记录，因此，该 MA C地址不是真正网关的MA C地址，而是中毒电脑的 MAC地址!这时，再根据网络正常时，全网的I P—MAC地址对照表，查找中毒电脑的 I P地址就可以了。

教你三招快速找到ARP病毒源第一招：使用Sniffer抓包在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。

如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。

原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。

最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC 地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。

前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

第二招：使用arp -a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。

例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。

原理：一般情况下，网内的主机只和网关通信。

正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。

如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。

如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。

假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。

所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。

此时，中毒主机越俎代庖，起了缺省网关的作用。

实战攻略：ARP病毒发起欺骗攻击解决方法故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

找出局域网中没被使用IP及ARP 病毒的清理作为网管员也好，或者在你的公司局域网里面找个喜欢的内网ip地址也好，或者在我们解决Windows 操作系统的DHCP故障时，有时要找出某个地址范围内有哪些地址没有被使用。

这时，大家可以打开命令提示窗口，在For…in…Do循环中调用 ping命令。

例如，为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用，可以使用这个命令：For /L %f in (1,1,100) Do Ping.exe -n 2 192.168.1.%f该命令会报告指定范围内的所有IP地址，不管是在用的还是未用的，用户都不得不在命令行窗口中翻看大量的内容。

其实，我们完全可以避免这些麻烦，只需建立一个批处理文件，要求它只返回那些未用的IP地址，然后再将命令的结果输入到一个文本文件中。

下面介绍方法：打开记事本，在窗口中输入如下的命令：@Echo offdate /t > IPList.txttime /t >> IPList.txtecho =========== >> IPList.txtFor /L %%f in (1,1,100) Do Ping.exe -n 2 192.168.1.%%f | Find "Request timed out." && echo 192.168.1.%%f Timed Out >>IPList.txt && echo offclsEcho Finished!@Echo onNotepad.exe IPList.txt恩，看看，是不是都给你揪出来了？这个办法适合于Windows Vista、Windows7、XP等Windows系统。

现在局域网中感染ARP 病毒的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。

在局域网内如何查杀攻击病毒呢?以下分两类来详细讲解：ARP 地址攻击查找流程1、如果客户端PC与网关无法通讯，首先在客户端ping 网关地址后，然后在dos窗口下执行arp–a 查看网关的mac地址，记录下网关MAC地址。

到交换机上查找交换机的MAC 地址(例如VLAN1接口)执行show intvlan 1 查看输出信息中VLAN1接口MAC，同时执行show standby vlan 1 查看HSRP网关MAC地址。

如果客户端显示的mac(假设为00-0d-0a-ac-bc-78)地址与网关地址不同，则可能是网关的MAC遭到ARP病毒攻击。

到交换机上执行show mac-address | in 000d.0aac.bc78 在输入信息中查找关联该MAC地址的端口，如果该端口是直连PC或者SERVER的端口，那么该端口所连客户端可能感染ARP类病毒。

如果该端口连接的是另外一台交换机，那么登陆到那台交换机上执行show mac-address | in 000d.0aac.bc78 直到关联端口是直连PC的端口位置。

2、如果客户端PC能够PING 通网关但是与其他VLAN的机器PING(假设该地址为192.168.1.111)不通。

首先在客户端ping 192.168.1.111后，然后在dos窗口下执行arp–a 查看对方IP地址对应的mac地址，记录下其MAC地址(有可能没有信息)，同时在目标机器192.168.1.111上执行ipconfig/all查看该机器网卡mac地址并记录下(注意：交换机上显示的MAC地址和PC上显示的MAC地址格式不一样，交换机上为4个16进制数一组并以“.”分割，PC机上为2个16进制数为一组以”-”分割)。

在dos窗口下执行tracert–d 192.168.1.111。

查看tracert信息最后一跳到达哪台交换机。

登陆到那台交换机上执行PING 192.168.1.111，然后执行show arp | in 192.168.1.111 查看输出信息的mac地址与目标机器(192.168.1.111)的mac地址是否相同。

ARP攻击危害：众说周知，ARP攻击变得日益猖狂，局域网内频繁性区域或整体掉线、IP地址冲突；网速时快时慢。

极其不稳定，严重影响了网络的正常通讯。

一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp -a命令来检查ARP 表：（点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

这时可以通过”arp-d“清除arp列表，重新访问。

检查ARP列表2、利用ARP防火墙类软件（如：360ARP防火墙、AntiARPSniffer等）（详细使用略）。

3、WIN7（Vista）系统中命令有所不同，具体情况可以参考如何解决ARP问题造成WIN7系统不能上网二、找出ARP病毒主机1、用“arp -d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。

通过上面的arp -a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。

哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig /all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert -d ，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

查找访问外网路径当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。

局域网中解决ARP病毒有哪些实用方法电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

那么对于局域网中解决ARP病毒，有哪些需要注意的呢?下面一起看看!方法步骤一、找出病毒的根源首先打开局域网内所有电脑，随后下载了一款名为“Anti Arp Sniffer”的工具，这是一款ARP防火墙软件，该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。

此外，该软件能有效拦截ARP病毒的攻击，保障该电脑数据流向正确。

使用“Anti Arp Sniffer”查找感染毒电脑时，启动该程序，随后在右侧的“网关地址”项中输入该局域网内的网关IP，随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址。

MAC 获取后单击“自动保护”按钮，这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。

片刻功夫，看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息。

这就说明该软件已经侦测到ARP病毒。

于是打开“Anti Arp Sniffer”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息，这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。

其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。

ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑无法上网。

二、获取欺骗机IP “Anti Arp Sniffer”虽然能拦截ARP病毒，但是不能有效的根除病毒。

要想清除病毒,决定还要找到感染ARP病毒的电脑才行。

通过“Anti Arp Sniffer”程序已经获取了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。

获取IP地址，请来了网管工具“网络执法官”，运行该出现后，在“指定监控范围”中输入单位局域网IP地址段，随后单击“添加/修改”按钮，这样刚刚添加的IP 地址段将被添加到下面的IP列表中。

局域网断网ARP攻击检测和修复的方法
如何检测局域网ARP攻击，采取相应的预防措施呢?下面是店铺收集整理的局域网断网ARP攻击检测和修复的方法，希望对大家有帮助~~
局域网断网ARP攻击检测和修复的方法
方法/步骤
局域网ARP攻击的检测方法：打开“运行”窗口，输入“CMD”进入MSDOS界面。

在打开的“MSDOS”界面中，输入“arp -a”查看arp列表，其中如果存在多条与网关IP相对应的MAC地址时，表明局域网存在ARP攻击。

此外，我们还可以通过许多软件来检测局域网ARP攻击，例如“聚生网管”软件，直接在百度中搜索来获取下载地址。

运行“聚生网管”软件，在其主界面中点击“安全防御”-“安全检测工具”项进入。

在打开的“安全检测工具”界面中，点击“局域网攻击检测工具开始检测”按钮。

并在弹出的窗口中点击“开始检测”按钮，并在弹出的窗口中点击“是”按钮，即可自动检测局域网中的攻击源并列表。

对于局域网ARP攻击，有效的防护措施是利用ARP绑定，将网关IP和其Mac地址进行绑定即可。

这可以利用“360流量防火墙”来实现。

或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。

通过交换机查找局域网内病毒的方法在局域网内如何查杀攻击病毒呢?以下分两类来详细讲解：ARP 地址攻击查找流程1、如果客户端PC与网关无法通讯，首先在客户端ping 网关地址后，然后在dos窗口下执行arp –a 查看网关的mac地址，记录下网关MAC地址。

到交换机上查找交换机的MAC地址(例如VLAN1接口)执行show int vlan 1 查看输出信息中VLAN1接口MAC，同时执行show standby vlan 1 查看HSRP网关MAC地址。

如果客户端显示的mac(假设为00-0d-0a-ac-bc-78)地址与网关地址不同，则可能是网关的MAC遭到ARP病毒攻击。

到交换机上执行show mac-address in 000d.0aac.bc78 在输入信息中查找关联该MAC地址的端口，如果该端口是直连PC或者SERVER的端口，那么该端口所连客户端可能感染ARP类病毒。

如果该端口连接的是另外一台交换机，那么登陆到那台交换机上执行show mac-address in 000d.0aac.bc78 直到关联端口是直连PC的端口位置。

2、如果客户端PC能够PING 通网关但是与其他VLAN的机器PING(假设该地址为192.168.1.111)不通。

首先在客户端ping 192.168.1.111后，然后在dos窗口下执行arp –a 查看对方IP地址对应的mac地址，记录下其MAC地址(有可能没有信息)，同时在目标机器192.168.1.111上执行ipconfig/all查看该机器网卡mac地址并记录下(注意：交换机上显示的MAC地址和PC上显示的MAC地址格式不一样，交换机上为4个16进制数一组并以“.”分割，PC机上为2个16进制数为一组以”-”分割)。

在dos窗口下执行tracert –d 192.168.1.111。

查看tracert信息最后一跳到达哪台交换机。

登陆到那台交换机上执行PING 192.168.1.111，然后执行show arp in 192.168.1.111 查看输出信息的mac地址与目标机器(192.168.1.111)的mac地址是否相同。