如果你的交换机带网管功能，是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA，办法如下： (1) 登录核心交换机，通过以下命令查询虚假MAC的来源 #sh mac-address-table dynamic address aaaa.aaaa.aaaa 命令输出类似如下： Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 7 0010.db58.3480 DYNAMIC Po1 7 aaaa.aaaa.aaaa DYNAMIC Gi1/0/11 <<<<< (2) 通过以下命令查询Gi1/0/11接的主机，还是网络设备 #show cdp neighbors

如果Gi1/0/11接的是交换机，那么登录此交换机，重复上述*作。如果接的是主机，那么此主机即是攻击者。