| Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞 |
★★★★★ |
| Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞 |
|
| |
|
|
【导读】配置错误##拒绝服务攻击##及时修补
信息提供:
安全公告(或线索)提供热线:51cto.editor@gmail.com
漏洞类别:
拒绝服务攻击漏洞
攻击类型:
远程攻击
发布日期:
2002-12-19
更新日期:
2002-12-24
受影响系统:
Cisco IOS 12.2
Cisco IOS 12.1
Cisco IOS 12.0
Cisco IOS 11.3
安全系统:
无
漏洞报告人:
FX
漏洞描述:
BUGTRAQ ID: 6443
Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系统。
使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴,远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击,消耗所有带宽。
EIGRP使用自动发现邻居路由器方式进行路由发现。EIGRP路由器通过在使能接口上多播而宣布其存在。如果两个路由器彼此发现对方,它们将交换当前拓扑信息,双方也需要获得对方路由器MAC地址。
当使用随机源IP地址生成EIGRP邻居通告,并对路由器或者整个网络进行'淹没'攻击,所有接收的CISCO路由器会尝试联系发送者,发送者IP地址必须在目前路由器配置中的子网中。
CISCO IOS存在一个漏洞,在联系发送者时会持续请求发送MAC地址,这个过程没有超时操作,除非EIGRP邻居保持时间过期,这个值又发送端提供并最大可以超过18小时。
多个使用不存在的源IP地址邻居通告,可以导致路由器消耗大量CPU利用率和消耗大量带宽,造成拒绝服务攻击。
使用IP多播和EIGRP通告将会有更好的攻击效果。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告,导致存在通过Internet进行攻击的可能。
测试方法:
无
解决方法:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 实现使用MD5 HASH进行EIGRP验证。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18
* 如果在单播方式使用EIGRP,可以使用切当的ACL阻挡来自非法主机的通告,下面的例子EIGRP邻居IP地址为10.0.0.2,本地路由器地址为10.0.0.1:
Router#config t
Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1
Router(config)#access-list 111 deny eigrp any host 10.0.0.1
厂商补丁:
Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/warp/public/707/advisory.html
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-10-13 4:26:36 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 文章录入:admin 责任编辑:admin |
|
上一篇文章: Cisco IOS畸形OSPF包远程拒绝服务漏洞
下一篇文章: Cisco IOS 系统计时器潜在任意代码执行漏洞 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 