CISCO 12000系列存在ICMP Unreachable漏洞发布时间:2001-11-15 更新时间:2001-11-15 严重程度:中 威胁程度:远程拒绝服务 错误类型:设计错误 利用方式:服务器模式 受影响系统 12000系列如CSCdr46528, CSCdt66560, CSCds36541 BUG ID的产品.详细描述 当没有合法路径到目的地或者当包需要被路由到NULL0接口的包会被丢弃。这些包 一般是快速丢弃(Engine 0 Line Cards)或者硬件丢弃(使用ASIC的CARDS)。这样就 使的CISCO 12000丢弃大量数据而不影响路由本身通信的能力。当包丢弃时,路由 器必须发送ICMP不可到达的包给源地址。 当大量数量的通信发送给路由器并需要ICMP不可到达数据恢复时,处理返回的过程 可以大量消耗CPU,此环境可能发生在路由器的"Black Hole"过滤和丢弃发送给网络 默认路由,或者直接针对路由器进行拒绝服务攻击的情况下。 下面是漏洞和Engine the line card对照表: +------------+---------------+--------------+----------------+---------+ | DDTS | Engine 0 Engine 1 Engine 2 Engine 4| +------------+---------------+--------------+----------------+---------+ |CSCdr46528 | Vulnerable | | | | +------------+---------------+--------------+----------------+---------+ |CSCds36541 | | Vulnerable | | | +------------+---------------+--------------+----------------+---------+ |CSCdt66560 | | | Vulnerable | | +------------+---------------+--------------+----------------+---------+ 测试代码 要检测是否存在漏洞,你可以使用: c12000#sh diag SLOT 1 (RP/LC 1 ): 1 Port Packet Over SONET OC-48c/STM-16 Single Mode/SR SC-SC connector MAIN: type 41, 800-5271-01 rev A0 dev 0 HW config: 0x04 SW key: 00-00-00 PCA: 73-3295-05 rev A0 ver 5 HW version 1.1 S/N SDK034004AY MBUS: Embedded Agent Test hist: 0x00 RMA#: 00-00-00 RMA hist: 0x00 DIAG: Test count: 0x00000000 Test results: 0x00000000 L3 Engine: 2 - Backbone OC48 (2.5 Gbps) ^^^^^^^^^^^^ <- Note the engine type [further output truncated] 所有基于Engines 0, 1 and 2 line cards存在漏洞,而3和4不受影响。 解决方案 临时方法: 1)防止路由器发送ICMP不可到达包: router(config)#interface ethernet 0 router(config-if)#no ip unreachables 2)限制ICMP不可到达包数量: router(config)#ip icmp rate-limit unreachable n 默认值是500,表示每500 ms发送一个这样的包 升级信息请关注: http://www.cisco.com/go/psirt 相关信息 参考: http://www.cisco.com/warp/public/707/GSR-unreachables-pub.shtml. |
