針對CDP協議攻擊分析及安全防護

針對cdp協議攻擊分析及安全防護<?xml:namespace prefix="o">

?xml:namespace>

熟悉cisco的朋友都知道cdp協議是思科公司獨特的發現協議，在思科公司出產的所有路由器和交換機裡面都能執行此協議，一台執行c d p的路由器或交換機能夠得知與它直接相連的鄰居埠和主機名資訊。也可以得知一些附加資訊如：鄰居的硬體模式號碼及其效能。這樣通過cdp的我們能得到相關聯的路由器名、路由器埠資訊、ios版本資訊、ios平台資訊、硬體版本資訊，以及相關的鏈路資訊從而描述出整個網路的拓撲情況。這時候黑客就會利用cdp欺騙攻擊會讓網路管理員措手不及。有下面給大家說明兩種目標可能遭到cdp欺騙攻擊，及應對辦法。

一、兩種cdp欺騙型別

（1）針對**管理軟體，各種高階網管軟體cisco works 、ibm tivoli 、hp open view,都依賴cdp完成cisco主機發現。如果傳送偽造的cdp幀，聲稱在網路上新出現了一台cisco裝置，那麼管理軟體將試圖通過snmp與其聯絡，此時就有機會捕獲所使用的ｓｎｍｐcommunity name string ,這樣很可能是網路中其他cisco裝置所使用的名稱，而且很可能會導致這些裝置遭到攻擊。此外，cdp欺騙還可用於惡作劇，分散網路管理員的注意力。

cdp幀是如何製造出來的呢？主要有兩種工具可定製偽造

cdp幀。下面讓我們先看看

linux

平台下的

cdp工具程式。

1 .yersinia工具

yersinia 是執行第二層攻擊的乙個工具，幫助黑箱測試者在他的日常工作中檢查2層協議配置的可靠性。yersinia能夠操作第二層網路協議和允許攻擊者阻擋交換機通過注入偽生成樹協議，dhcp, vlan 中繼協議和其他資訊到網路中。

安裝：

tar zxvf yersinia-0.7.tar.gz

./configure;make;make install

二、防禦措施

執行cdp的交換機/路由器定時廣播帶有cdp更新資料的報文，用cdp timer命令決定cdp更新資料間隔，預設值為60秒，而且cdp預設已啟用。

我們在一台cisco catalyst 2924交換機上對cdp資料報的診斷輸出資訊。可以看到，交換機在每個活動介面傳送cdp資料報。

sw#debug cdp packet

03:36:26 cdp-pa packet received form r1 on inte***ce fastethernet0/5

03:36:26 **entry found in cache**

03:36:30 cdp-pa version 2packet sent out on fastethernet 0/1

03:36:30 cdp-pa version 2packet sent out on fastethernet 0/2

03:36:30 cdp-pa version 2packet sent out on fastethernet 0/3

03:36:30 cdp-pa version 2packet sent out on fastethernet 0/4

我們如何關閉cdp協議呢？

需要在交換機/路由器的

全域性模式下用

no cdp enable

如果是cisco catos則使用set cdp disable來禁用cdp。

以gui

介面啟動

yersinia

輸入「yersinia –g

」；以字元介面啟動輸入「

yersinia –i」

針對CDP協議攻擊分析及安全防護

針對CDP協議分析及安全防護

TCP協議資料報及攻擊分析

針對TCP協議的攻擊與檢測預防方法

針對CDP協議攻擊分析及安全防護

針對CDP協議 分析及安全防護

TCP協議資料報及攻擊分析

針對TCP協議的攻擊與檢測 預防方法

相關推薦

針對CDP協議分析及安全防護

針對TCP協議的攻擊與檢測預防方法