通信网络（2）——DAI技术

一、简介

在今天的测试脚本过程中，遇到了ARP防攻击基于VLAN的DAI防攻击知识点，因此本篇文章将用于介绍为何DAI技术

二、DAI技术介绍

DAI技术是思科的一种技术，全称为Dynamic ARP Inspection，顾名思义动态ARP选择，这里提一下为什么会出现这个DAI技术，因为我们知道ARP报文是作用于局域网中的广播协议，它是没有检测功能的，也就是说我们收到ARP报文是不会检测它是否是正确的，因此这个漏洞就很容易被黑客抓住，黑客会伪造ARP报文，使得局域网内的设备将错误的信息存入自身的ARP缓存表中，这样局域网内的信息都会发往黑客的设备，他就可以窃取其中的数据，为了防止这种漏洞造成恶劣的影响，我们的DAI技术由此诞生，因此DAI技术可以简单理解为对ARP报文进行校验的一种技术，不会让任意的ARP报文都能过在局域网中广播

三、DAI技术原理

当使能了DAI功能后，我们收到ARP报文时就会对该ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较，如果匹配成功，才会将发送此ARP报文的设备当作合法用户，允许该ARP报文通过

不过这个DAI技术使用有个前提，就是它是以DHCP Snooping绑定表为基础来判定的（不懂DHCP Snooping的同学可以去看我的第三节通信网络（3）——DHCP Snooping-CSDN博客），因此需要在交换机设备上先使能DHCP Snooping再使能DAI功能，当然了对于静态配置IP地址的用户的话，我们则需要手动添加静态绑定表