DAI 【Dynamic ARP Inspection】 ダイナミックARPインスペクション

概要

DAI（Dynamic ARP Inspection）とは、ネットワークスイッチのセキュリティ機能の一つで、ネットワーク上のARP通信を監視し、不正なARP応答を検知して遮断するもの。ARPスプーフィングを防止することができる。

ARPはネットワーク内の各機器のIPアドレスとMACアドレス（物理アドレス）を対応付けるための通信規約（プロトコル）で、あるIPアドレスを持つ機器を一斉配信で尋ね、そのIPアドレスを持つ機器が自分のMACアドレスを応答する仕組みになっている。

DAIはスイッチがARPリクエストと対応するARPレスポンスを監視し、矛盾するARPレスポンスを検知して破棄し、他の機器が受信しないようにする。これにより、攻撃者の操作する端末が不正なARPレスポンスで他の機器のIPアドレスを乗っ取るARPスプーフィング（ARPポイズニング）攻撃を防ぐことができる。

DHCPが有効なネットワークでは、スイッチがDHCPの要求と応答を監視するDHCPスヌーピングによりIPアドレスとMACアドレスの対応表（バインディングテーブル）を作成し、これに掲載されていないARP応答を検知する。DHCPが用いられていないネットワークでは固定的なIPアドレスとMACアドレスの対応表を設定する必要がある。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。