今天很多客户反映网站被挂木马了，上服务器查了一下。发现网站程序代码里没有问题，肯定就是机房里有arp攻击了。远程登陆上服务器，发现服务器上装的Anti ARPB防火墙并没有报警，看来是新的变种arp攻击了。

在ARP防火墙分析里，可以看出网关MAC地址变成了两个，其中一个肯定就是arp攻击的源头了。

nbtscan是一款用于扫描Windows网络上NetBIOS名字信息的程序。该程序对给出范围内的每一个地址发送NetBIOS状态查询，并且以易读的表格列出接收到的信息，对于每个响应的主机，NBTScan列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。

软件下载地址：http://www.fzpchome.com/Soft/serversoft/200803/508.html

下载后，把cygwin1.dll和nbtscan.exe复制到system32目录下

然后在运行CMD里输入：

nbtscan xxx.xxx.xxx.0/24   

xxx代表你的IP地址前三段

这命令是扫描整个网段的主机。

然后再运行arp -a，看看哪个IP的MAC地址跟当前网关的MAC地址一样，哪台服务器就是这次arp攻击的攻击源了。接下来的事就简单了，把这台拔线掉就OK。