法一：使用Sniffer抓包
      在網(wǎng)絡(luò)中的任意一臺(tái)主機(jī)上運(yùn)行抓包軟件，捕獲所有到達(dá)本主機(jī)的數(shù)據(jù)包。如果發(fā)現(xiàn)某個(gè)IP不斷發(fā)送ARP Request請(qǐng)求包，這臺(tái)主機(jī)一定就是病毒源。
         原理：無論是何種ARP病毒變種，行為方式主要有兩種：一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機(jī)。最終的結(jié)果是在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動(dòng)主機(jī)的MAC地址均為中病毒主機(jī)的MAC地址；網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中，網(wǎng)關(guān)的MAC地址也都是中病毒主機(jī)的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)報(bào)被發(fā)送到中毒主機(jī)，后者則相反，使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)報(bào)均被發(fā)送到中毒主機(jī)。

方法二：使用arp -a命令
      任意選擇兩臺(tái)不能上網(wǎng)的主機(jī)，在命令提示符狀態(tài)下運(yùn)行arp -a命令，如果在結(jié)果中，兩臺(tái)電腦除了網(wǎng)關(guān)的IP，MAC地址對(duì)應(yīng)項(xiàng)外，都包含了另外一個(gè)IP，這可以斷定這個(gè)IP就是病毒源。
         原理：一般情況下，網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下，一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有了其他主機(jī)的MAC地址，說明本地主機(jī)和這臺(tái)主機(jī)最近有過數(shù)據(jù)通信發(fā)生。如果某臺(tái)主機(jī)既不是網(wǎng)關(guān)也不是服務(wù)器，但和網(wǎng)內(nèi)的其他主機(jī)都有數(shù)據(jù)通信活動(dòng)，且此時(shí)又是ARP病毒的發(fā)作時(shí)期，那么病毒源就是他了。

方法三：使用tracert命令
      在任意一臺(tái)受影響的主機(jī)上，在命令提示符狀態(tài)下運(yùn)行tracert命令，具體的命令行為：tracert IP（該IP為外網(wǎng)地址），在跟蹤一個(gè)外網(wǎng)地址時(shí)，第一跳卻是另一個(gè)IP（不是網(wǎng)關(guān)地址），則這個(gè)IP就是病毒源。
         原理：中毒主機(jī)在受影響的主機(jī)和網(wǎng)關(guān)之間，扮演著“中間人”的角色。所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包，由于錯(cuò)誤的MAC地址，均被發(fā)送到了中毒主機(jī)上，此時(shí)中毒主機(jī)在該網(wǎng)絡(luò)中充當(dāng)缺省網(wǎng)關(guān)的作用。