第一招：使用Sniffer抓包　　在網絡內任意一臺主機上運行抓包軟件， 捕獲所有到達本機的數據包。 如果發現有某個IP不斷發送請求包， 那么這臺電腦一般就是病毒源。 原理：無論何種ARP病毒變種， 行為方式有兩種， 一是欺騙網關， 二是欺騙網內的所有主機。 最終的結果是， 在網關的ARP緩存表中， 網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中， 網關的MAC地址也成為中毒主機的MAC地址。 前者保證了從網關到網內主機的數據包被發到中毒主機， 后者相反， 使得主機發往網關的數據包均發送到中毒主機。 　

第二招：使用arp -a命令　任意選兩臺不能上網的主機， 在DOS命令窗口下運行arp -a命令。 例如在結果中， 兩臺電腦除了網關的IP， MAC地址對應項， 都包含了192.168.0.186的這個IP， 則可以斷定192.168.0.186這臺主機就是病毒源。 原理：一般情況下， 網內的主機只和網關通信。 正常情況下， 一臺主機的ARP緩存中應該只有網關的MAC地址。 如果有其他主機的MAC地址， 說明本地主機和這臺主機最后有過數據通信發生。 如果某臺主機（例如上面的192.168.0.186）既不是網關也不是服務器， 但和網內的其他主機都有通信活動， 且此時又是ARP病毒發作時期， 那么， 病毒源也就是它了。

第三招：使用tracert命令　　在任意一臺受影響的主機上， 在DOS命令窗口下運行如下命令：tracert 61.135.179.148。 　假定設置的缺省網關為10.8.6.1， 在跟蹤一個外網地址時， 第一跳卻是10.8.6.186， 那么， 10.8.6.186就是病毒源。 原理：中毒主機在受影響主機和網關之間， 扮演了“中間人”的角色。 所有本應該到達網關的數據包， 由于錯誤的MAC地址， 均被發到了中毒主機。 此時， 中毒主機越俎代庖， 起了缺省網關的作用。