思科发现协议 (CDP) 是思科专有协议,所有思科设备都可配置为使用该协议。 CDP 可以发现直接相连的其他思科设备,这将允许设备自动配置其连接。 在某些情况下,这样可以简化配置和连接。

默认情况下,大多数思科路由器和交换机在所有端口上都启用了 CDP。 CDP 信息会定期以未加密的广播形式发送。 该信息会在每台设备的 CDP 数据库中进行本地更新。 由于 CDP 是第 2 层协议,因此路由器不会传播 CDP 消息。

CDP 包含有关设备的信息,如 IP 地址、IOS 软件版本、平台、性能和本征 VLAN。 攻击者会利用此信息找到攻击网络的方法,通常会采用拒绝服务 (DoS) 攻击的形式。

该图是 Wireshark 捕获的一部分,显示 CDP 数据包的内容。 通过 CDP 发现的 Cisco IOS 软件版本特别有利于攻击者确定该特定版本的 IOS 是否有任何特有的安全漏洞。 此外,因为 CDP 不进行身份验证,所以攻击者可以伪造 CDP 数据包并将其发送到直连的思科设备上。

建议您使用 no cdp run 全局配置模式命令在无需使用 CDP 的设备或端口上禁用 CDP。 可以针对每个端口禁用 CDP。

Telnet 攻击

Telnet 协议是不安全的,可被攻击者用来远程侵入思科网络设备。 攻击者可以利用工具来对交换机的 vty 线路实施暴力密码破解攻击。

暴力密码攻击

暴力密码攻击的第一阶段是攻击者使用一个常用密码列表和一个专门设计的程序,这个程序使用字典列表中的每一个词来尝试建立 Telnet 会话。 如果在第一阶段没有发现密码,则开始第二阶段。 在暴力攻击的第二阶段,攻击者又使用一个程序,这个程序创建顺序字母组合,试图猜测密码。 只要有足够的时间,暴力密码攻击可破解几乎所有使用的密码。

要缓解暴力密码攻击,可以使用强密码并经常更改。 强密码应该使用大写和小写字母的组合,而且应包括数字和符号(特殊字符)。 使用访问控制列表 (ACL) 也可以限制对 vty 线路的访问。

Telnet DoS 攻击

Telnet 也可以被用来发起 DoS 攻击。 在 Telnet DoS 攻击中,攻击者利用了交换机上所运行的 Telnet 服务器软件中的一个缺陷,这个缺陷可使 Telnet 服务不可用。 此类攻击阻止管理员远程访问交换机管理功能。 在攻击期间,此类攻击可能与网络中的其他直接攻击一起来共同尝试阻止网络管理员访问核心设备。

解决 Telnent 服务中的 DoS 攻击漏洞的常用办法是使用 Cisco IOS 更新修订版中附带的安全补丁。

注意:最佳做法是使用 SSH 而不是 Telnet 进行远程管理连接。