通信网络(2)——DAI技术

一、简介

在今天的测试脚本过程中,遇到了ARP防攻击基于VLAN的DAI防攻击知识点,因此本篇文章将用于介绍为何DAI技术

二、DAI技术介绍

DAI技术是思科的一种技术,全称为Dynamic ARP Inspection,顾名思义动态ARP选择,这里提一下为什么会出现这个DAI技术,因为我们知道ARP报文是作用于局域网中的广播协议,它是没有检测功能的,也就是说我们收到ARP报文是不会检测它是否是正确的,因此这个漏洞就很容易被黑客抓住,黑客会伪造ARP报文,使得局域网内的设备将错误的信息存入自身的ARP缓存表中,这样局域网内的信息都会发往黑客的设备,他就可以窃取其中的数据,为了防止这种漏洞造成恶劣的影响,我们的DAI技术由此诞生,因此DAI技术可以简单理解为对ARP报文进行校验的一种技术,不会让任意的ARP报文都能过在局域网中广播

三、DAI技术原理

当使能了DAI功能后,我们收到ARP报文时就会对该ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果匹配成功,才会将发送此ARP报文的设备当作合法用户,允许该ARP报文通过

不过这个DAI技术使用有个前提,就是它是以DHCP Snooping绑定表为基础来判定的(不懂DHCP Snooping的同学可以去看我的第三节通信网络(3)——DHCP Snooping-CSDN博客),因此需要在交换机设备上先使能DHCP Snooping再使能DAI功能,当然了对于静态配置IP地址的用户的话,我们则需要手动添加静态绑定表

你可能感兴趣的:(通信网络,网络)