一。
预防mac地址欺骗,可以在交换机上启用“端口安全”,伪造mac地址会造成安全端口进入errordisable状态
二。
预防ip地址欺骗,可以在交换机上全局启用“dhcp snooping”
Ip欺骗主要是伪造ip包的源地址,目的地址发送回送的数据包进入伪造ip所在的网段后,路由器会重新封装数据帧,此时必须知道ip-mac地址的对应关系,而"dhcp snooping"保证了ip-mac地址的正确对应关系,所以回应包会返回到真实的终端中。
此时会形成攻击端(中毒端)发送数据,但是没有回应数据
在病毒传播时候,可以据此找到攻击端
被攻击端,没有发送数据,但是不断收到回应
在病毒传播时候,可以临时在主机防火墙上增加deny规则,或者在交换机端口增加deny-acl语句,防止被ddos攻击
原文:http://xm2007.blog.51cto.com/10773550/1765387