成合法的mac地址，可以tel
et了。
2故障现象
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有的主机和路由器，让所有上网的流量必须经过木马主机。其他用户原来直接通过路由器上网现在转由通过木马主机上网，切换的时候用户会断一次线。
切换到木马主机上网后，如果用户已经登录了网游服务器，那么木马主机就会经常伪造断线的现象，使用户重新登录服务器，这样木马主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户恢复从路由器上网，切换过程中用户会再断一次线。
3在局域网内查找病毒主机
以我校局域网曾经出现的症状，演示如何查找感染了ARP病毒（木马）的主机。
31网络拓扑图
如图1所示，上行S3206为用户网关，级联S2826为接入用户交换机，用户使用静态IP地址。
图1网络拓扑图
32故障现象
很多用户反映上网速度慢，pi
g网关时延抖动严重，且丢包。
33故障分析
由于故障涉及用户较多，且分布在不同的接入交换机上，所以在S3206上用命令showloggi
galarm查看，发现如下告警信息：
S3206showloggi
galarm
A
alarm19712level6occurredat15200605252010UTCse
tbyMCPARPThehardwareaddressofIPaddress104019010ischa
gedfrom001558c43c48to0018f3d9ab19
f龙源期刊网httpwwwqika
comc
A
alarm19712level6occurredat15200905252010UTCse
tbyMCPARPThehardwareaddressofIPaddress104019128ischa
gedfrom00142ab66c53to0018f3d9ab19
A
alarm19712level6occurredat15201005252010UTCse
byMCPARPThehardwareaddressofIPaddress104019070ischa
gedfrom0018f3d9ab19to0011435c7eb3
A
alarm19712level6occurredat15201005252010UTCse
tbyMCPARPThehardwareaddressofIPaddress104019041ischa
gedfrom001422a18c30to0018f3d9ab19
A
alarm19712level6occurredat15201205252010UTCse
tbyMCPARPThehardwareaddressofIPaddress1040190172ischa
gedfrom0018f3d9ab19to0018f3d9278c
A
alarm19712level6occurredat15201205252010UTCse
tbyMCPARPThehardwareaddressofIPaddress104019078ischa
gedfrom0018f3d9ab19to00114360b253
A
alarm19712level6occurredat15201205252010UTCse
tbyMCPARPThehardwareaddressofIPaddress104019022ischa
gedfrom0018f3d9ab19to0040d0515f5c
A
alarm19712level6occurredat15201605252010UTCse
tbyMCPARPThehardwareaddressofIPaddress1040190172ischa
gedfrom0018f3d9278cto0018f3d9ab19
A
alarm19712level6occurredat15201905252010UTCse
tbyMCPARPThehardwareaddressofIPaddress1040191200isr