【故障現(xiàn)象】當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和安全網(wǎng)關，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過安全網(wǎng)關上網(wǎng)現(xiàn)在轉由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。

　　切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。

　　由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從安全網(wǎng)關上網(wǎng)，切換過程中用戶會再斷一次線。

　　【快速查找】在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中，看到大量如下的信息：

　　MAC SPOOF 192.168.16.200

　　MAC Old 00:01:6c:36:d1:7f

　　MAC New 00:05:5d:60:c7:18

　　這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址）。

　　同時在安全網(wǎng)關的WebUIà高級配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣，或者在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計中看到所有用戶的MAC地址信息都一樣。

　　如果是在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中看到大量MAC Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在安全網(wǎng)關上恢復其真實的MAC地址）。

　　在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN（下載地址：http://www.utt.com.cn/upload/nbtscan.rar）工具來快速查找它。

　　NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。

　　命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。

　　NBTSCAN的使用范例：

　　假設查找一臺MAC地址為“000d870d585f”的病毒主機。

　　1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

　　2）在Windows開始à運行à打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C:btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車。

　　

　　3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。