D.4.4　使用网络分析工具找出ARP病毒源

在网络内任意一台主机上运行络分析工具，捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP请求包，那么这台计算机一般就是病毒源，在图D-7所示中，IP地址为170.4.0.150的主机可能就是病毒源。

图　D-7　大量的ARP请求报文