Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。受影响系统:
Cisco IOS 12.4
【Cisco IOS EIGRP通告ARP拒绝服务攻击漏洞】Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.1
Cisco IOS 12.0
Cisco IOS 11.3
描述:BUGTRAQ  ID: 6443

Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系统 。

使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴,远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击,消耗所有带宽 。

EIGRP使用自动发现邻居路由器方式进行路由发现 。EIGRP路由器通过在使能接口上多播而宣布其存在 。如果两个路由器彼此发现对方,它们将交换当前拓扑信息,双方也需要获得对方路由器MAC地址 。

当使用随机源IP地址生成EIGRP邻居通告,并对路由器或者整个网络进行‘淹没’攻击,所有接收的CISCO路由器会尝试联系发送者,发送者IP地址必须在目前路由器配置中的子网中 。

CISCO IOS存在一个漏洞,在联系发送者时会持续请求发送MAC地址,这个过程没有超时操作,除非EIGRP邻居保持时间过期,这个值又发送端提供并最大可以超过18小时 。

多个使用不存在的源IP地址邻居通告,可以导致路由器消耗大量CPU利用率和消耗大量带宽,造成拒绝服务攻击 。

使用IP多播和EIGRP通告将会有更好的攻击效果 。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告,导致存在通过Internet进行攻击的可能 。

<*来源:FX (fx@phenoelit.de)
Paul Oxman (poxman@cisco)
Andrew A. Vladimirov (mlists@arhont)
链接:http://marc.theaimsgroup/?l=bugtraq&m=104032222927499&w=2
http://marc.theaimsgroup/?l=bugtraq&m=113503313712315&w=2
http://marc.theaimsgroup/?l=bugtraq&m=113510954613
*>
建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 实现使用MD5 HASH进行EIGRP验证 。

http://cisco/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18

* 如果在单播方式使用EIGRP,可以使用切当的ACL阻挡来自非法主机的通告,下面的例子EIGRP邻居IP地址为10.0.0.2,本地路由器地址为10.0.0.1:

Router#config t
Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1
Router(config)#access-list 111 deny eigrp any host 10.0.0.1

厂商补丁:

Cisco
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://cisco/warp/public/707/advisory.html
责任编辑:烟花(TEL:(010)68476636-8008)

    推荐阅读