【在局域网内查找病毒主机】 ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。 命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 NBTSCAN的使用范例： 假设查找一台MAC地址为“000d870d585f”的病毒主机。 1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。 3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

精心收集arp攻防系列工具（包括cain嗅探），可能会被杀毒误杀，请放心使用

1、首先说明这个资源是可以使用的，目前时间2018年3月9日，亲测可用； 2、这个资源会被360等杀毒软件报毒误删，但是是安全的，如果需要使用，建议在虚拟机中或者将该软件加入信任列表中； 3、软件自带的攻击的效果不是很明显，强烈建议选择【发送】按钮自己组装arp欺骗报文，调整好发送频率可以导致被攻击方断网。

两篇论文和一篇PDF文档 1、ARP协议的含义和工作原理……………………………………………………5 1.1、ARP协议简介 ……………………………………………………………5 1.2、ARP协议的数据结构 ……………………………………………………5 1.3、ARP协议的利用 ………………………………………………………5 1.3.1、交换网络的嗅探 …………………………………………………5 1.3.2、IP地址冲突………………………………………………………6 1.3.3、阻止目标的数据包通过网关………………………………………6 1.3.4、通过ARP检测混杂模式节点………………………………………7 1.4、ARP协议的原理……………………………………………………………7