日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Cisco發(fā)布針對(duì)路由器ICMP最新攻擊方法

云知道


在最近發(fā)表的一個(gè)IOS安全公告里,Cisco警告稱在Internet上使用的一個(gè)公共治理協(xié)議可以被利用來發(fā)動(dòng)針對(duì)Cisco 路由器或其他基于IP的設(shè)備的拒絕服務(wù)攻擊 。
該安全公告對(duì)基于Internet控制報(bào)文協(xié)議(ICMP)的潛在攻擊發(fā)出了警告,攻擊可能導(dǎo)致基于IOS的設(shè)備不可訪問 。思科的安全公告是根據(jù)英國國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心(NISCC)發(fā)布的一份通報(bào)提出的,而NISCC發(fā)布的通報(bào)則是參考了IETF網(wǎng)站發(fā)表的一份描寫ICMP如何被用于發(fā)起針對(duì)TCP通信的DoS攻擊的文檔 。
ICMP是TCP/IP協(xié)議族的一個(gè)子協(xié)議,用于在IP主機(jī)、路由器之間傳遞控制消息 。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息 。據(jù)IETF文檔說,攻擊者有可能給運(yùn)行TCP的設(shè)備發(fā)送某些ICMP“硬件錯(cuò)誤”消息,導(dǎo)致設(shè)備重置TCP連接或降低TCP連接的吞吐率 。假如反復(fù)發(fā)送這樣的ICMP消息,設(shè)備就可能變得對(duì)網(wǎng)絡(luò)不可訪問 。IETF文檔還概述了利用路徑最大傳輸單元發(fā)現(xiàn)(PMTUD)的另一種DoS攻擊方法 。PMTUD是ICMP的一個(gè)處理錯(cuò)誤消息的機(jī)制 。
Cisco表示,只有運(yùn)行啟用了PMTUD的IOS的路由器和其他設(shè)備才會(huì)受到這種攻擊 。它指出ICMP“硬件錯(cuò)誤”消息攻擊對(duì)思科設(shè)備無效 。不過,所有版本的IOS(10.x、11.x和12.x)易受基于PMTUD的攻擊 。其他不基于IOS的設(shè)備也易受攻擊,包括思科Aironet WLAN設(shè)備、堆疊式和機(jī)架式Catalyst交換機(jī)和ONS光網(wǎng)絡(luò)設(shè)備 。
Cisco表示,在運(yùn)行IPv4的IOS設(shè)備中PMTUD默認(rèn)是禁用的,但在運(yùn)行IPv6或IPSec的IOS設(shè)備中PMTUD默認(rèn)是啟用的,如VPN設(shè)備和PIX安全應(yīng)用設(shè)備 。Cisco警告說,他的基于IOS-XR操作系統(tǒng)的CRS-1互聯(lián)網(wǎng)路由器是易受PMTUD攻擊和ICMP“硬錯(cuò)誤”消息攻擊 。(PMTUD在IOS-XR中默認(rèn)是禁用的) 。
Cisco已經(jīng)針對(duì)這些漏洞發(fā)布了軟件補(bǔ)丁程序 。同時(shí),Cisco表示在Cisco設(shè)備中禁用PMTUD也是解決問題的一個(gè)辦法 。

    推薦閱讀