Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞发布时间:2002-12-19 更新时间:2002-12-19 严重程度:高 威胁程度:远程拒绝服务 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:6443 受影响系统 Cisco IOS 11.3详细描述 Cisco开发和维护的Internet Operating System (IOS)是Cisco路由器的固件系统。 使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴,远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击,消耗所有带宽。 EIGRP使用自动发现邻居路由器方式进行路由发现。EIGRP路由器通过在使能接口上多播而宣布其存在。如果两个路由器彼此发现对方,它们将交换当前拓扑信息,双方也需要获得对方路由器MAC地址。 当使用随机源IP地址生成EIGRP邻居通告,并对路由器或者整个网络进行'淹没'攻击,所有接收的CISCO路由器会尝试联系发送者,发送者IP地址必须在目前路由器配置中的子网中。 CISCO IOS存在一个漏洞,在联系发送者时会持续请求发送MAC地址,这个过程没有超时操作,除非EIGRP邻居保持时间过期,这个值又发送端提供并最大可以超过18小时。 多个使用不存在的源IP地址邻居通告,可以导致路由器消耗大量CPU利用率和消耗大量带宽,造成拒绝服务攻击。 使用IP多播和EIGRP通告将会有更好的攻击效果。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告,导致存在通过Internet进行攻击的可能。 解决方案 Damir Rajnovic <gaus@cisco.com>提供了临时解决方法: 使用MD5验证只接收验证主机的EIGRP包: http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18 如果在单播方式使用EIGRP,可以使用切当的ACL阻挡来自非法主机的通告,下面的例子EIGRP邻居IP地址为10.0.0.2,本地路由器地址为10.0.0.1: Router#config t Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1 Router(config)#access-list 111 deny eigrp any host 10.0.0.1 相关信息 发现者:FX <fx@phenoelit.de>和Phenoelit Group 相关资料:http://online.securityfocus.com/archive/1/304034 http://online.securityfocus.com/archive/1/304044 |
