针对CDP协议***剖析及安全防护51CTO博客 - 娱乐之横扫全球

针对CDP协议***剖析及安全防护51CTO博客

2019年02月22日07时59分09秒 | 作者: 振博 | 标签: 协议,交流,信息 | 浏览: 2335

针对CDP协议***剖析及安全防护<?xml:namespace prefix="o">

 

?xml:namespace>

了解Cisco的朋友都知道CDP协议是思科公司共同的发现协议,在思科公司出产的一切路由器和交流机里边都能运转此协议,一台运转C D P的路由器或交流机能够得知与它直接相连的街坊端口和主机名信息。也能够得知一些附加信息如:街坊的硬件形式号码及其功能。这样经过CDP的咱们能得到相关联的路由器名、路由器端口信息、IOS版别信息、 IOS渠道信息、硬件版别信息,以及相关的链路信息然后描绘出整个网络的拓扑状况。这时候***就会运用CDP诈骗***会让网络管理员措手不及。有下面给咱们阐明两种方针或许遭到CDP诈骗***,及应对方法。

一、两种CDP诈骗类型

 

(1)针对中心管理软件,各种高端网管软件Cisco works 、IBM Tivoli 、HP open view,都依靠CDP完结Cisco主机发现。假如发送假造的CDP帧,宣称在网络上新出现了一台Cisco设备,那么管理软件将企图经过SNMP与其联络,此刻就有时机捕获所运用的SNMPCommunity name string ,这样很或许是网络中其他Cisco设备所运用的称号,并且很或许会导致这些设备遭到***。此外,CDP诈骗还可用于恶作剧,涣散网络管理员的注意力。

(2)第二个方针就是Cisco IP 电话Cisco ip电话翻开后,就会和相连的交流机开端交流CDP数据,,彼此辨认,交流机运用CDP告诉电话,让它知道语音流量将运用那个VLAN,不难发现,这里有时机施行诈骗***,例如注入CDP帧。这样会为电话分配一个过错的VLAN。这些手动假造的CDP帧是怎么制造出来的呢?主要有两种东西可定制假造CDP帧。下面让咱们先看看Linux渠道下的CDP东西程序。

1 .Yersinia东西

 

Yersinia 是履行第二层***的一个东西,协助黑箱测试者在他的日常工作中查看2层协议装备的可靠性。Yersinia能够操作第二层网络协议和答应***者阻挠交流机经过注入伪生成树协议,DHCP, VLAN 中继协议和其他信息到网络中。

1.&#160;&#160;&#160;&#160;&#160;&#160;装置:

tar zxvf yersinia-0.7.tar.gz

 

./configure;make;make install

 

 


二、防护办法

 

运转CDP的交流机/路由器守时播送带有CDP更新数据的报文,用cdp timer指令决议CDP更新数据距离,缺省值为60秒,并且CDP默许已启用。

 

咱们在一台Cisco Catalyst 2924交流机上对CDP数据包的确诊输出信息。能够看到,交流机在每个活动接口发送CDP数据包。

SW#debug cdp packet

03:36:26 CDP-PA Packet received form R1 on interface FastEthernet0/5

03:36:26 **Entry found in cache**

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/1

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/2

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/3

03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/4

咱们怎么封闭CDP协议呢?

需要在交流机/路由器的大局形式下用no cdp enable

假如是Cisco&#160;CatOS则运用set&#160;cdp&#160;disable来禁用CDP。

 


 

以GUI界面发动Yersinia输入“Yersinia –G”;以字符界面发动输入“Yersinia –I”

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表娱乐之横扫全球立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章