本文針對(duì)路由器ICMP的最新攻擊給予了應(yīng)對(duì)方法的講解，下面將給予詳細(xì)的講解。

在最近發(fā)表的一個(gè)IOS安全公告里，Cisco警告稱在Internet上使用的一個(gè)公共管理協(xié)議可以被利用來(lái)發(fā)動(dòng)針對(duì)Cisco 路由器或其他基于IP的設(shè)備的拒絕服務(wù)攻擊。

該安全公告對(duì)基于Internet控制報(bào)文協(xié)議（ICMP）的潛在攻擊發(fā)出了警告，攻擊可能導(dǎo)致基于IOS的設(shè)備不可訪問(wèn)。思科的安全公告是根據(jù)英國(guó)國(guó)家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心（NIS CC）發(fā)布的一份通報(bào)提出的，而NISCC發(fā)布的通報(bào)則是參考了IETF網(wǎng)站發(fā)表的一份描寫ICMP如何被用于發(fā)起針對(duì)TCP通信的DoS攻擊的文檔。

ICMP是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。據(jù)IETF文檔說(shuō)，攻擊者有可能給運(yùn)行TCP的設(shè)備發(fā)送某些ICMP“硬件錯(cuò)誤”消息，導(dǎo)致設(shè)備重置TCP連接或降低TCP連接的吞吐率。如果反復(fù)發(fā)送這樣的ICMP消息，設(shè)備就可能變得對(duì)網(wǎng)絡(luò)不可訪問(wèn)。IETF文檔還概述了利用路徑最大傳輸單元發(fā)現(xiàn)（PMTUD）的另一種DoS攻擊方法。PMTUD是ICMP的一個(gè)處理錯(cuò)誤消息的機(jī)制。

Cisco表示，只有運(yùn)行啟用了PMTUD的IOS的路由器和其他設(shè)備才會(huì)受到這種攻擊。它指出ICMP“硬件錯(cuò)誤”消息攻擊對(duì)思科設(shè)備無(wú)效。不過(guò)，所有版本的IOS（10.x、11.x和12.x）易受基于PMTUD的攻擊。其他不基于IOS的設(shè)備也易受攻擊，包括思科Aironet WLAN設(shè)備、堆疊式和機(jī)架式Catalyst交換機(jī)和ONS光網(wǎng)絡(luò)設(shè)備。

Cisco表示，在運(yùn)行IPv4的IOS設(shè)備中PMTUD默認(rèn)是禁用的，但在運(yùn)行IPv6或IPSec的IOS設(shè)備中PMTUD默認(rèn)是啟用的，如VPN設(shè)備和PIX安全應(yīng)用設(shè)備。Cisco警告說(shuō)，他的基于IOS-XR操作系統(tǒng)的CRS-1互聯(lián)網(wǎng)路由器是易受PMTUD攻擊和ICMP“硬錯(cuò)誤”消息攻擊。（PMTUD在IOS-XR中默認(rèn)是禁用的）。

Cisco已經(jīng)針對(duì)這些漏洞發(fā)布了軟件補(bǔ)丁程序。同時(shí)，Cisco表示在Cisco設(shè)備中禁用PMTUD也是解決問(wèn)題的一個(gè)辦法。
 

【編輯推薦】

1. 詳細(xì)解釋思科路由器trace命令
2. 詳細(xì)探究思科路由器全局調(diào)試方法
3. 各種思科路由器模式全解
4. 看思科路由器如何引領(lǐng)路由行業(yè)發(fā)展
5. 看思科路由器的未來(lái)發(fā)展戰(zhàn)略