Dynamic ARP Inspection (DAI)
Goal
ARP 基於信任設計,因此可能遭到 ARP Spoofing 的攻擊,DAI 的目的便是防止 ARP Spoofing
實現方法
紀錄對應關係
在 Switch 上建立紀錄 MAC address、IP address、switch port 對應關係的 Binding Table
封包驗證
當 Switch 收到 ARP Reply,便會:
- 確認 source IP 和 MAC address 是否正確對應
- 確認此封包是否來自正確的 Port 當這些都被確認了,才會讓此封包通過
Trust/Untrust Port
其中還有 Trust/Untrust Port的概念,當此 Port 連接至像是 Router、Switch等網路基礎設施,則將此 Port 設為 Trust Port,而連接終端設備的則為 Untrust Port,DAI 只會驗證 Trust Port傳來的 ARP Reply