怎么查不到ARP木马病毒源（如解决重谢）

公司上网是简单的路由器（TPLINK-R470）接宽带猫（Dlink-dsl300）接交换机共享上网模式。
设置路由器 192.168.0.1 MAC是00-0A-EB-CC-1B-B8
平时上网正常。病毒发作时，打ARP -A 命令查询
192.168.0.1的mac被欺骗为 00-11-95-F0-9F-A2 断网
用MAC 扫描器、LANhelper、网络执法官查询都查不到这个MAC任何相关系信息。
只有一条信息：病毒发作断网时，客户端打http：//192.168.0.1
领域会显示：DI-504， 当然用户名，密码不知上不了。
正常时打该IP,是进我的TPlink-R470路由器web管理界面的
DI-504，我查过是DLINK的一款路由器型号，后来怀疑是那个DLINK宽带猫
仔细查看其说明书，用笔记本连接宽带猫，断开路由器脱离局域网，访问192.168.0.1（1、原来这个猫默认的IP，我恢复出厂默认值。2、原来我没设置过猫，把0.1 设置给了TPlink路由器，上网没问题。）进入猫的WEB管理界面：查其MAC 是00:0D:88:70:8D:EE。不是病毒源。
是不是有什么伪装或者反侦测技术？ 解决不了源头，老是断网，晕阿

查不到ARP木马病毒源僦别查吧~浪费时间~
查不到僦防护囖~呵呵

对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期，由系统删除
这样，可以采用以下的一些方法：
1）. 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。
2）. 建立静态ARP表
这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。
3）．禁止ARP
可以通过ifconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的

在路由器端抓下包，分析一下那个IP狂发ARP包，然后把它断网后，再诊断。
或用旁路协听诊断一下。

最新ARP欺骗专用工具ArpSpoof.3.1 含源代码