在最近的一次安全警报中,Cisco Systems警告说Cisco IOS易于受到一种恶意攻击(请参考Cisco关于危急IOS漏洞的警告)。通过利用这个漏洞,黑客能够在思科设备上执行恶意代码或者发动一次DDOS攻击(拒绝服务攻击)。由于互联网上的路由器至少有70%的路由器是思科路由器,这个漏洞格外引人关注。为了保护你的路由器的基础结构,你能够做些什么呢?本文将讨论这个问题。
哪些产品受到影响?
只有拥有统一通信管理器(Cisco Unified Communications Manager)和支持语音服务的路由器会受到影响。如果你的路由器符合这两个条件之一,你就应该采取行动了。如果你不能确定你的路由器是否拥有语音服务(会话初始化协议(SIP)),就应该检查一下。
哪些特定IOS的版本会受到影响?
只有某些版本的IOS 12.3和所有的IOS 12.4受到这个漏洞的影响,并且只有你激活SIP协议时才会发生。要查看你正在运行的IOS版本,只需要键入show version命令。
我如何知道我是否启用了IOS协议?
注意下面一点是非常重要的:即使SIP协议没有进行特别的配置,Cisco IOS也易受到攻击。这时所需要的只是路由器正在监听SIP通信。
执行如下的三个命令就可以查看你的路由器是否正在监听进入的SIP请求:
以下是引用片段: show ip sockets show udp show tcp brief all |
注意:“show ip sockets”命令在较新的IOS版本上可能无法运行。"show tcp brief all"命令可能不会返回任何输出。下面就是笔者的路由器的一个输出示例:
以下是引用片段: Router# show ip sockets ^ % Invalid input detected at '^' marker. Router# show udp Proto Remote Port Local Port In Out Stat TTY OutputIF 17 --listen-- --any-- 68 0 0 1 0 17 --listen-- --any-- 2887 0 0 11 0 17 0.0.0.0 0 192.168.1.100 67 0 0 2211 0 Router# show tcp brief all Router# |
你正在寻找的是下面这些协议和端口号的任何进入的通路(监听者):TCP 5060, 5061, 1720, 11720 and UDP 5060, 5061, 2427, 2517, 16384 – 32767
你从笔者的路由器的输出结果中可以看出,笔者并没有任何这样的端口。如果你有一个这样的通路(监听者),你的输出结果将看起来会是如下的样子:
以下是引用片段: Router# show ip sockets Proto Remote Port Local Port In Out Stat TTY OutputIF 17 0.0.0.0 0 --any-- 5060 0 0 211 0 Router# show tcp brief all TCB Local Address Foreign Address (state) 835F9624 *.5060 *.* LISTEN |
请注意这两种情况中的端口号5060。
| 共2页: 1 [2] 下一页 | ||||
|
