问题描述

网络中针对ARP的攻击层出不穷，中间人攻击是常见的ARp欺骗攻击方式之一。

解决方案

为了防御中间人攻击，可以在交换机上部署动态ARP检测 (DAl，DynamicARP Inspection) 功能。

原理简述

DAI是利用绑定表来防御中间人攻击的。

当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较：
1）如果信息匹配，说明发送该 ARP 报文的用户是合法用户，人允许此用户的ARP报文通过;
2）否则就认为是攻击，丢弃该 ARP 报文。