本文介绍了DAI技术,一种思科的动态ARP检查技术,用于防止ARP欺骗攻击。DAI通过对比源IP、MAC、VLAN和接口信息来验证ARP报文,确保只有合法用户可通过。实施DAI需要先启用DHCPSnooping。
一、简介
在今天的测试脚本过程中,遇到了ARP防攻击基于VLAN的DAI防攻击知识点,因此本篇文章将用于介绍为何DAI技术
二、DAI技术介绍
DAI技术是思科的一种技术,全称为Dynamic ARP Inspection,顾名思义动态ARP选择,这里提一下为什么会出现这个DAI技术,因为我们知道ARP报文是作用于局域网中的广播协议,它是没有检测功能的,也就是说我们收到ARP报文是不会检测它是否是正确的,因此这个漏洞就很容易被黑客抓住,黑客会伪造ARP报文,使得局域网内的设备将错误的信息存入自身的ARP缓存表中,这样局域网内的信息都会发往黑客的设备,他就可以窃取其中的数据,为了防止这种漏洞造成恶劣的影响,我们的DAI技术由此诞生,因此DAI技术可以简单理解为对ARP报文进行校验的一种技术,不会让任意的ARP报文都能过在局域网中广播
三、DAI技术原理
当使能了DAI功能后,我们收到ARP报文时就会对该ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果匹配成功,才会将发送此ARP报文的设备当作合法用户,允许该ARP报文通过
不过这个DAI技术使用有个前提,就是它是以DHCP Snooping绑定表为基础来判定的(不懂DHCP Snooping的同学可以去看我的第三节通信网络(3)——DHCP Snooping-CSDN博客),因此需要在交换机设备上先使能DHCP Snooping再使能DAI功能,当然了对于静态配置IP地址的用户的话,我们则需要手动添加静态绑定表
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
