DAI 【Dynamic ARP Inspection】 ダイナミックARPインスペクション

概要

DAI（Dynamic ARP Inspection）とは、ネットワークスイッチのセキュリティ機能の一つで、ネットワーク上のARP通信を監視し、不正なARP応答を検知して遮断するもの。ARPスプーフィングを防止することができる。

ARPはネットワーク内の各機器のIPアドレスとMACアドレス（物理アドレス）を対応付けるための通信規約（プロトコル）で、あるIPアドレスを持つ機器を一斉配信で尋ね、そのIPアドレスを持つ機器が自分のMACアドレスを応答する仕組みになっている。

DAIはスイッチがARPリクエストと対応するARPレスポンスを監視し、矛盾するARPレスポンスを検知して破棄し、他の機器が受信しないようにする。これにより、攻撃者の操作する端末が不正なARPレスポンスで他の機器のIPアドレスを乗っ取るARPスプーフィング（ARPポイズニング）攻撃を防ぐことができる。

DHCPが有効なネットワークでは、スイッチがDHCPの要求と応答を監視するDHCPスヌーピングによりIPアドレスとMACアドレスの対応表（バインディングテーブル）を作成し、これに掲載されていないARP応答を検知する。DHCPが用いられていないネットワークでは固定的なIPアドレスとMACアドレスの対応表を設定する必要がある。