一。

预防mac地址欺骗，可以在交换机上启用“端口安全”，伪造mac地址会造成安全端口进入errordisable状态

二。

预防ip地址欺骗，可以在交换机上全局启用“dhcp snooping”

Ip欺骗主要是伪造ip包的源地址，目的地址发送回送的数据包进入伪造ip所在的网段后，路由器会重新封装数据帧，此时必须知道ip-mac地址的对应关系，而"dhcp snooping"保证了ip-mac地址的正确对应关系，所以回应包会返回到真实的终端中。

此时会形成攻击端（中毒端）发送数据，但是没有回应数据

在病毒传播时候，可以据此找到攻击端

被攻击端，没有发送数据，但是不断收到回应

在病毒传播时候，可以临时在主机防火墙上增加deny规则，或者在交换机端口增加deny-acl语句，防止被ddos攻击