針對CDP協(xié)議攻擊分析及安全防護<?xml:namespace prefix="o">

?

?xml:namespace>

熟悉Cisco的朋友都知道CDP協(xié)議是思科公司獨特的發(fā)現協(xié)議，在思科公司出產的所有路由器和交換機里面都能運行此協(xié)議，一臺運行C D P的路由器或交換機能夠得知與它直接相連的鄰居端口和主機名信息。也可以得知一些附加信息如：鄰居的硬件模式號碼及其性能。這樣通過CDP的我們能得到相關聯的路由器名、路由器端口信息、IOS版本信息、IOS平臺信息、硬件版本信息，以及相關的鏈路信息從而描述出整個網絡的拓撲情況。這時候黑客就會利用CDP欺騙攻擊會讓網絡管理員措手不及。有下面給大家說明兩種目標可能遭到CDP欺騙攻擊，及應對辦法。

一、兩種CDP欺騙類型

?

（1）針對中央管理軟件，各種高端網管軟件Cisco works?、IBM Tivoli?、HP open view,都依賴CDP完成Cisco主機發(fā)現。如果發(fā)送偽造的CDP幀，聲稱在網絡上新出現了一臺Cisco設備，那么管理軟件將試圖通過SNMP與其聯系，此時就有機會捕獲所使用的ＳＮＭＰCommunity?name?string ,這樣很可能是網絡中其他Cisco設備所使用的名稱，而且很可能會導致這些設備遭到攻擊。此外，CDP欺騙還可用于惡作劇，分散網絡管理員的注意力。

（2）第二個目標就是Cisco IP?電話Cisco ip電話打開后，就會和相連的交換機開始交換CDP數據，，相互識別，交換機利用CDP通知電話，讓它知道語音流量將使用那個VLAN，不難發(fā)現，這里有機會實施欺騙攻擊，例如注入CDP幀。這樣會為電話分配一個錯誤的VLAN。這些手動偽造的CDP幀是如何制造出來的呢？主要有兩種工具可定制偽造CDP幀。下面讓我們先看看Linux平臺下的CDP工具程序。

1 .Yersinia工具

?

Yersinia?是執(zhí)行第二層攻擊的一個工具，幫助黑箱測試者在他的日常工作中檢查2層協(xié)議配置的可靠性。Yersinia能夠操作第二層網絡協(xié)議和允許攻擊者阻擋交換機通過注入偽生成樹協(xié)議，DHCP, VLAN?中繼協(xié)議和其他信息到網絡中。

1.&#160;&#160;&#160;&#160;&#160;&#160;安裝：

tar zxvf yersinia-0.7.tar.gz

?

./configure;make;make install

?

?

二、防御措施

?

運行CDP的交換機/路由器定時廣播帶有CDP更新數據的報文，用cdp timer命令決定CDP更新數據間隔，缺省值為60秒，而且CDP默認已啟用。

?

我們在一臺Cisco Catalyst 2924交換機上對CDP數據包的診斷輸出信息?？梢钥吹?#xff0c;交換機在每個活動接口發(fā)送CDP數據包。

SW#debug cdp packet

03:36:26 CDP-PA Packet received form R1 on interface FastEthernet0/5

03:36:26 **Entry found in cache**

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/1

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/2

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/3

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/4

我們如何關閉CDP協(xié)議呢？

需要在交換機/路由器的全局模式下用no cdp enable

如果是Cisco&#160;CatOS則使用set&#160;cdp&#160;disable來禁用CDP。

?

?

以GUI界面啟動Yersinia輸入“Yersinia –G”；以字符界面啟動輸入“Yersinia –I”

?本文轉自 李晨光 51CTO博客，原文鏈接：http://blog.51cto.com/chenguang/124425，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的针对CDP协议攻击分析及安全防护的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。