当网吧内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，对网吧用户上网带来危害，比如盗窃用户游戏账号，还会致使上网速度越来越慢。所以当网吧网络遭遇ARP欺骗时，就需要查找网吧ARP欺骗病毒主机的IP地址。
　　在WebUI（WINDOWS的组件）/系统状态/系统信息/系统历史记录中，看到大量如下的信息：
　　MAC SPOOF 192.168.16.200
　　MAC Old 00:01:6c:36:d1:7f
　　MAC New 00:05:5d:60:c7:18
　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为网吧ARP欺骗主机的MAC地址。同时在安全网关的WebUI/高级配置/用户管理/读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUI/系统状态/用户统计中看到所有用户的MAC地址信息都一样。
     如果是在WebUI/系统状态/系统信息/系统历史记录中看到大量MACOld地址都一致，则说明局域网内曾经出现过ARP欺骗。

　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。
　　NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。
　　命令：“nbtscan-r192.168.16.0/24”（搜索整个192.168.16.0/24网段,即192.168.16.1-192.168.16.254）；或“nbtscan192.168.16.25-137”搜索192.168.16.25-137网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
　　下面小编具体列举一个NBTSCAN的使用范例：
　　假设查找一台MAC地址为“000d870d585f”的病毒主机。
　　1.将压缩包中的nbtscan.exe和cygwin1.dll解压缩放到c:下。
　　2.在Windows开始/运行/打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:btscan-r192.168.16.1/24（这里需要根据用户实际网段输入），回车。
　　3.通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
　　以上就是查找网吧ARP欺骗病毒主机的IP地址的方法，找到主机IP后，即可对症下药解决问题。最后小编提醒各位网管注意，做好网吧网络安全防护措施，确保用户上网安全。