最近局域網內arp病毒肆虐， 只要一打開抓包工具， 滿屏都是arp包。 就想查一下， 看看哪些電腦中毒了。

試了一下金山防火墻， 發現這個東東和很多它的同類產品一樣， 只能在有網關的網絡內有效， 而對于我們這樣不用網關的網絡， 就算網內arp流量大上天去， 它也無動于衷， 根本無法用于我們的中毒機器排查。

在網上找了一下， 發現國外一個共享軟件XArp比較有用， 它是一個專業的Arp攻擊檢測軟件， 可以不同的策略對局域網內的Arp流量進行檢測分析， 并標記出可疑計算機Mac和IP等信息。

它有兩個工作顯示視圖， 一個普通視圖可以顯示局域網內所有計算機ARP相關流量， 計算機MAC， IP， 主機名等信息， 當IP地址對應的MAC地址發生變化時， 會做出標記和提示， 如果你提高安全等級的設置， 還可以看到子網過濾的告警信息提示（由于我們的內網是無網關+固定ip的形式， 凡是在子網內發這種不存在的子網廣播包的計算機， 都應是病毒計算機）。

另一個高級視圖， 可以顯示本機網絡信息， 檢測到的arp告警等。

在高級視圖點擊"copy to clipboard"按鈕， 可以將下面的告警信息拷貝到text,excel等文件便于處理， 比如拷貝到excel文件之后， 刪除掉無關的行和列， 再另存為csv文件， 以數據庫文件的方式在access中打開這個csv文件， 轉換成數據表， 再利用sql語句查詢一下， 可以輕易得到可疑計算機的mac地址， 或者mac地址使用過的ip地址列表：

有了這些信息以后， 你就可以有根有據， 有商有量地和各個機主交涉了：）

另外， 最近發現， 我的抓包工具wireshark（就是以前的ethreal， .......什么？沒聽過， 當我沒說...）在抓住本機發出的包時， 總是兩個兩個一起的重復顯示（接收方那邊并沒有什么問題）， 就連arp包也是如此， 最初以為中毒或系統問題， 后來wireshark論壇發現也有人有這個現象， 開發組說可能是系統或網卡鏡像等原因造成， 不過以前沒有這個問題啊， 所以肯定還是有什么原因導致， 暫時這個問題還沒有解決， 如果有達人知道原因， 請不吝賜教。