基于CDP协议网络攻击的安全防范.docVIP

基于CDP协议网络攻击的安全防范 　　摘要：CDP（Cisco Discovery Protocol）是思科的一个数据链路层的发现协议，运行在思科路由器、网桥、接入服务器和交换机等设备上，用来发现和查看相邻设备详细信息的一种重要协议，如IP地址、软件版本、平台、性能和本机VLAN等。入侵者通常利用拒绝服务（DoS）等攻击获得这些信息，并利用这些信息进行CDP欺骗，造成很大的安全威胁。 　　关键词：CDP协议；网络攻击；安全防范 　　中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 16-0000-01 　　The Security of Network Attacks Based on CDP Protocol 　　Jiang Baohua 　　(Changchun University,Tourism College,Department of Basic,Changchun130607,China) 　　Abstract:CDP (Cisco Discovery Protocol) is one of Ciscos data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats. 　　Keywords:CDP protocol;Network attacks;Security 　　一、CDP协议发现原理 　　要发现CDP协议的安全漏洞，就要知道其工作原理。CDP协议与现有的网络协议类型无关，主要用来发现与本地设备直接相连的Cisco设备。每个运行CDP协议的设备都会定期发送宣告消息，来更新邻居信息。同时每个运行CDP的设备也会接收CDP消息来记录邻居设备的信息。这些信息包括设备名称、本地接口、硬件版本、IOS版本、IOS平台、工作模式、本地VLAN、连接保持等。利用这些信息可以描述整个网站的拓扑情况。而且这些报文信息不加密，是明文。CDP发现直接相连的其他Cisco设备，，并在某些情况下自动配置其连接。CDP的优势非常明显，包括发现的速度、准确性、所获取的信息的详细程度。 　　CDP协议相关的命令与作用如下：（1）SHOW CDP命令获取CDP定时器和保持时间信息。（2）在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定时器和保持时间。（3）在路由器的全局配置模式下可以使用NO CDP RUN命令完全的关闭CDP。若要在路由器接口上关闭或打开CDP，使用NO CDP ENABLE和CDP ENABLE命令。（4）Show cdp neighbor命令可以显示有关直连设备的信息。要记住CDP分组不经过CISCO交换机这非常重要，它只能看到与它直接相连的设备。在连接到交换机的路由器上，不会看到连接到交换机上的其他所有设备。（5）Show cdp traffic命令显示接口流量的信息，包括发送和接收CDP分组的数量，以及CDP出错信息。（6）Show cdp interface命令可显示路由器接口或者交换机、路由器端口的状态。（7）debug cdp events启动CDP事件调试等等。 　　二、CDP协议安全威胁 　　确实在大部分情况下，CDP协议的作用是不可替代的。如在大多数网络中，CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优化。但是，其带来的安全隐患也不容忽视。在缺省状态下，Cisco品牌的交换机或路由器会自动在所有连接接口上发送CDP消息，这些消息由于没有采取安全加密措施，非法用户通过专业工具可以很轻松地窃取到这些敏感内容。当这些敏感信息被非法者拥有后，他们就能轻易了解到局域网中的组网结构，并通过相关地址对网络中的重要主机进行恶意攻击，最终造成网络无法安全、稳定地运行。 　　除了被动获取邻居设备的交换协议信息外，非法攻击者