一、ARP欺骗检测（针对局域网内攻击）

客户端与网关通信异常检测

- 在受影响客户端执行`ping 网关地址`，若无法通信，记录客户端显示的网关MAC地址。

- 登录交换机，通过`show int vlan 1`或`show standby vlan 1`获取网关实际MAC地址，对比客户端记录值。若不一致，可能是网关MAC被篡改（如ARP病毒攻击）。

端口关联分析

- 在交换机上执行`show mac-address | in 客户端MAC`，定位与异常MAC关联的端口。

- 若端口连接其他交换机，需进一步排查该端口连接的设备是否感染病毒。

二、网络隔离与应急处理

隔离感染设备

- 通过交换机后台管理界面，关闭与感染设备关联的端口（如`inter e0/9 shutdown`），防止病毒扩散。

- 若涉及VLAN，可删除或禁用受影响VLAN。

恢复网络连接

- 隔离后，通过更换网关MAC地址（如静态绑定正确MAC）或修复网络配置恢复通信。

三、终端木马病毒检测

特征码与行为分析

- 使用网络安全工具（如防火墙、IDS）检测异常网络行为，如后门端口通讯、恶意进程等。

- 查找已知的恶意代码特征（如shellcode、挖矿程序）。

IP追踪与定位

- 记录感染设备的IP地址，通过资产管理工具或网络映射工具定位物理设备。

- 对定位设备进行病毒查杀和系统修复。

四、预防与建议

定期更新与打补丁：

确保网络设备固件和终端系统为最新版本，修复已知漏洞。

强化访问控制：限制不必要的网络访问，使用VLAN划分和端口安全功能。

监控与审计：建立网络行为监控机制，定期审计异常活动。

通过以上方法，可有效追踪局域网内病毒攻击源，并采取相应措施阻断传播。若涉及复杂网络环境，建议结合专业安全工具进行深度分析。