簡單的描述一下在Catalyst 6500交換機上如何配置DAI（dynamic Address Resolution Protocol inspection）自動的ARP檢測， 和有關ARP攻擊的原理。

理解ARP：

ARP通過在2層的廣播提過ip地址向mac地址的轉換來提供ip的通信。 比如主機a要想和在一個廣播域的主機b進行通信， 但是沒有主機b的mac地址（我們都知道在2層的通信是通過mac進行的）在它的ARP緩存里面。 主機a就會向所在的廣播域的所有主機發廣播， 問誰的mac是主機b的ip地址， 所有主機都會接受這個請求（ARP request）， 來核對自己的mac。 只有符合的主機也就是主機b才作出應答（ARP responds）。

理解DAI和ARP攻擊：

DAI提供了信任的ARP包的安全監測機制。 DAI可以截獲， 記錄， 丟棄一切在網絡中不被信任的ip-mac的綁定地址， 這樣就能有效的防止網絡中的ARP攻擊。 DAI通過以下機制來確認合法的的ARP請求和回復的更新：

1．

在不信任的接口上檢測所有的ARP請求和回復

2．

在更新本地的ARP緩存或者在泛洪到相關的目的地之前， 先確認每一個被監測的數據包有一個信任的ip-mac的綁定地址

3．

丟棄所有不信任的ARP數據包

DIA通過建立一個ip-mac綁定數據庫， 通常是DHCP檢測綁定數據庫， 來確定ARP數據包的可信任性。 這個數據庫是通過DHCP檢測來建立的， DHCP可以在VLAN和swich上應用。 如果ARP數據包是從不被信任的接口進來， 交換機將不會做任何處理就直接泛洪， 如果是從不被信任的接口進來， 交換機只會泛洪被信任的數據包。

用戶還可以通過ALC來控制不想通過DHCP服務來自動獲得ip的主機。 這些ip往往是用戶通過手工指定的ip地址。 DAI還可以記錄所有被丟棄的ARP數據包， 這樣就可以方便的發現網絡中存在的威脅隱患。 用戶也可以通過配置DAI來實現丟棄ARP數據包， 當這些數據包的ip地址是不被信任的， 或者這些數據包的mac地址不能匹配先前指定的mac地址。

理解ARP攻擊：

簡單的說ARP攻擊就是利用了ARP允許即使在ARP請求沒有回復的情況下， 接受從一個主機發出的答復。 從而達到被攻擊者的主機的數據流量同時先通過攻擊者主機然后再流向路由器等設配。 比如， a主機想向b通信， 雙方都有各自的ip和mac的對應表在arp緩存里面， 攻擊者c告訴a自己的mac對應的ip是b的ip， 同樣告訴b自己的mac對應的ip是a的ip。 從而a發向b的數據， 就會被中間的c所截獲。 同理如果a和b不是在一個網段上， c也可以通過向a告知自己的mac對對應的ip是網關的ip， 向網關通告自己的mac對應的ip是a的ip， 從而就能截獲a所有向外網的流量。 可見ARP攻擊帶來的影響是相當大的， 在一個復雜的局域網里面可以把在一個廣播域里面的所有機器弄得不能上網。

接口的信任狀態和網絡的安全:

數據包如果到達一個信任的接口就可以繞過DAI的確認檢測， 如果到達的接口是不被信任的就會出發DAI確認檢測。

在一個典型的網絡配置里面， 一般用戶把和主機相連的交換機接口配置成為不被信任的接口， 并且把交換機相連的接口配置為信任接口， 這樣的配置， 就能實現對進入網絡的ARP數據包進行安全檢測。

注意：在配置接口的信任性時要謹慎， 配置為不信任的接口時， 可導致網絡的連通性能。 比如：主機A和主機B在同一個vlan里面， 分別通過兩臺配置了DAI的交換機通信， 如果交換機之間的接口被配置成為不信任的狀態， 從A或者B的ARP包就不會通過交換機交換， A和B 之間的通信就會中斷。

配置成為信任接口， 往往就是留下一個安全的漏洞。 因為配置成為DAI的交換機只能保證通過不被信任接口連接到自己的主機不破壞在一個網段的主機ARP緩存， 但是不能保證在網絡的另一個部分的主機來破壞運行DAI的交換機相連的主機的ARP緩存。 （通常用ARP＋ACL來控制）

乍一看， 是有點兒復雜。 通過在接口上配置DAI是十分少見的， 主要是因為現代網絡越來越復雜， 用戶不可能在復雜的網絡中確定哪個接口是可信任的哪個是不可信任的， 哪個交換機要起DAI哪個不需要起。 所以現在重要的是在vlan接口上應用DAI＋DHCP＋ARP ACL來實現對ip－mac的綁定。

對于ARP數據包的頻率限制：

交換機能夠實現對ARP數據包的頻率限制來防止DOS（denial－of－service）攻擊。 默認的在不被信任的接口上是每秒15個數據包， 信任接口沒有頻率限制。

當進入不被信任的接口的ARP數據包超過限制的范圍的時候， 接口會自己處于錯誤狀態（error－disabled）， 知道用戶對其進行另行的配置

ARP ACLs和DHCP檢測得優先級問題：

交換機首先和用戶配置的ACL進行比較， 如果ARP ACL阻止了數據包， 交換機也會阻止這個數據包， 即使交換機配置的DHCP檢測中的合法綁定數據庫允許該數據包通過。

通告丟棄的數據包：

當交換機丟棄一個數據包， 就會出發系統日志來記錄有關信息， 以便用戶進行分析。 當日志信息滿的時候， 交換機會清理相關的日志信息。 每個日志信息包括以下信息， 進入的vlan， 接口號碼， 源地址和目標地址（ip和mac）。

DAI 配置指南和限制：

1.

DAI是一個安全方案， 不會額外的提供其他的檢測功能

2.

DAI不會對沒有配置或者不支持DAI的交換機相連的主機起到作用。 應為ARP攻擊僅僅是限于2層的廣播域中， 不同的廣播域要單獨配置DAI,不然是起不到DAI的作用的。 總之， DAI是對一個廣播域中的ARP進行自動檢測的。

3.

DAI是基于DHCP檢測綁定數據庫來確定合法的ip－mac地址的轉換， 在ARP請求和答復的過程中， 所以要確定DHCP檢測的正常工作。

4.

用戶不想通過DHCP服務獲得的ip地址可以用ARP ACL來控制。

5.

DAI可以應用到普通接口， trunk口， EtherChannel口， 和vlan。

6.

在配置EtherChannel時候要注意物理接口的信任模式。 把物理接口加入EtherChannel時候， 要把物理接口的信任模式配置成為EtherChannel的模式， 才能配置成功。 再有， 在把端口綁定成為EtherChannel時候， EtherChannel的模式會和第一個加入的物理接口的信任模式一樣。 所以EtherChannel會續承第一個物理接口的信任模式。 把第一個接口的信任模式改變， 就可以改變EtherChannel的模式。

7.

配置EtherChannel的ARP接受頻率是屬于EtherChannel的物理接口實際接受ARP包的總和。 當EtherChannel接收的ARP包超過設置的數值時候， 整個EtherChannel會處于錯誤狀態。

8.

確定ARP通過trunk接口的上限值。 配置vlan間的trunk的通過ARP包一個高的上限， 可以引起vlan間的dos的攻擊。