局域网内有ARP欺骗，求找出欺骗主机办法

如果这个MAC是病毒伪造的，那没有任何办法能找到它。上面几位说的这些工具和方法都根本不行。ARP我研究的比较透了，从协议到编写aRP欺骗程序，如果它伪造了源MAC，那什么工具都查不出。

除非是路由器支持，从端口发现是哪一个端口发送ARP欺骗封包的。或者拔网线，这个是最笨也是比较有效的方法。

如果想得到所以在线的机器的IP和MAC，可以下载一个arp扫描工具，它是发送正常的ARP请求包来得到所有机器的IP-MAC。如果这个攻击源MAC地址在里面，而且对应IP的机器能找到，则没有伪造MAC。如果找不到对应IP的机器，那就是伪造的，你没有任何办法，哈哈。

好吧，固定ip，这是因为你们使用自动选择ip造成的
你们先固定ip然后再连上路由器
这个时侯你们就可以查出来是谁在攻击了
arp是会伪造地址的，但是如果大家都固定了的话，就能查出来了
还有，每台电脑都有一个名字，在360上叫攻击源机器名，这个应该不会变的，只要你能找出相应的机器应该也可以解决

运行“cmd”

输入：apr -a

显示 默认网关，如果你知道你原来默认网关是多少的话，你就揪出那个多余的，把自己的电脑ip改为那个多余的网关ip地址。然后你就会听到：“妈的，谁的ip跟我冲突啊？”那么这个人的电脑就是中了arp欺骗病毒。

推荐一个比较方便的工具：nbscan.exe

这个工具很小，放到SYSTEM32中，通过DOS命令运行。可以查看局域网内的主机的IP、MAC、服务等信息，比较方便。

因为所有的ARP防火墙不可能十全十美。我建议你利用这个工具+ARP防火墙+自己的研究，通过自己的能力把问题解决。

下载个NETSCAN来扫描病毒主机

我也遇到过同样的问题，弄这个没有省力的办法，我是一条网线一条网线那么拔着查的，最后终于找到了那台攻击的主机！祝你幸运！