在最近的一次安全警報中，CiscoSystems警告說CiscoIOS易于受到一種惡意攻擊(請參考Cisco關(guān)于危急IOS漏洞的警告)。通過利用這個漏洞，黑客能夠在思科設(shè)備上執(zhí)行惡意代碼或者發(fā)動一次DDOS攻擊(拒絕服務(wù)攻擊)。由于互聯(lián)網(wǎng)上的路由器至少有70%的路由器是思科路由器，這個漏洞格外引人關(guān)注。為了保護你的路由器的基礎(chǔ)結(jié)構(gòu)，你能夠做些什么呢？本文將討論這個問題。

哪些產(chǎn)品受到影響？

只有擁有統(tǒng)一通信管理器(CiscoUnifiedCommunicationsManager)和支持語音服務(wù)的路由器會受到影響。如果你的路由器符合這兩個條件之一，你就應(yīng)該采取行動了。如果你不能確定你的路由器是否擁有語音服務(wù)(會話初始化協(xié)議(SIP))，就應(yīng)該檢查一下。

哪些特定IOS的版本會受到影響？

只有某些版本的IOS12.3和所有的IOS12.4受到這個漏洞的影響，并且只有你激活SIP協(xié)議時才會發(fā)生。要查看你正在運行的IOS版本，只需要鍵入showversion命令。

我如何知道我是否啟用了IOS協(xié)議？

注意下面一點是非常重要的：即使SIP協(xié)議沒有進行特別的配置，CiscoIOS也易受到攻擊。這時所需要的只是路由器正在監(jiān)聽SIP通信。

執(zhí)行如下的三個命令就可以查看你的路由器是否正在監(jiān)聽進入的SIP請求：

以下是引用片段：showipsocketsshowudpshowtcpbriefall

注意：“showipsockets”命令在較新的IOS版本上可能無法運行。”showtcpbriefall”命令可能不會返回任何輸出。下面就是筆者的路由器的一個輸出示例：

以下是引用片段：Router#showipsockets^%Invalidinputdetectedat’^'marker.Router#showudpProtoRemotePortLocalPortInOutStatTTYOutputIF17–listen—-any–68001017–listen—-any–288700110170.0.0.00192.168.1.100670022110Router#showtcpbriefallRouter#

你正在尋找的是下面這些協(xié)議和端口號的任何進入的通路(監(jiān)聽者)：TCP5060，5061，1720，11720andUDP5060，5061，2427，2517，16384–32767

你從筆者的路由器的輸出結(jié)果中可以看出，筆者并沒有任何這樣的端口。如果你有一個這樣的通路(監(jiān)聽者)，你的輸出結(jié)果將看起來會是如下的樣子：

以下是引用片段：Router#showipsocketsProtoRemotePortLocalPortInOutStatTTYOutputIF170.0.0.00–any–5060002110Router#showtcpbriefallTCBLocalAddressForeignAddress(state)835F9624*.5060*.*LISTEN

請注意這兩種情況中的端口號5060。

【編輯推薦】

1. IOS觸發(fā)cisco交換機故障恢復(fù)方案匯總