Спуфинг CDP - CDP spoofing - Wikipedia

В компьютерная сеть, Спуфинг CDP это метод, используемый для компрометации работы сетевых устройств, использующих Протокол обнаружения Cisco (CDP) для обнаружения соседних устройств. Спуфинг CDP - это угроза сетевой безопасности, которую можно уменьшить, приняв меры предосторожности.[1]

История

CDP был создан Cisco в 1994 г.[2] Его первоначальная цель заключалась в том, чтобы упростить поиск других устройств в сети.[1] CDP может использоваться между Cisco маршрутизаторы, переключатели и другие сетевое оборудование рекламировать свою версию программного обеспечения, возможности и IP-адрес.[3]

Две версии CDP - CDPv1 и CDPv2:

  • CDPv1 может обнаруживать основную информацию между сетевыми устройствами. Эти устройства могли получать информацию только о сетевом устройстве, которое было напрямую подключено к ним.
  • CDPv2 включает в себя больше утилит, таких как проверка наличия ошибок при настройке двух устройств (например, настройка несовпадающих собственных VLAN).[4]

использование

CDP включен по умолчанию на всех маршрутизаторах Cisco, переключатели и серверы. Протокол можно отключить по сети; однако, если он отключен на интерфейс и инкапсуляция изменен, он будет повторно включен в этом интерфейсе.[5][6] Протокол чаще всего используется для помощи сетевым администраторам, упрощая поиск и обнаружение устройств. Когда устройства обнаруживаются проще, это может помочь в решении определенных сетевых проблем, организации устройства, управления сетью и других сетевых задач.[1]

Хотя это могут быть полезные функции, злоумышленники могут накапливать эту информацию об устройствах, что оставляет тип устройства, айпи адрес и IOS версия открытая и уязвимая. Злоумышленники могут использовать эту информацию для имитации других устройств, кражи информации и создания различных сетевых проблем.[1]

Popeskic рекомендует отключить CDP на всем устройстве, а не только на интерфейсах, чтобы полностью снизить угрозу спуфинга CDP или атак через CDP. Некоторые предлагают отключить CDP, если он не используется на устройстве или если он не является необходимостью для устройства.[7]

Требования

  • CDP будет работать только тогда, когда пакет содержит Протокол доступа к подсети (SNAP) заголовок. Интерфейс также должен поддерживать SNAP, чтобы CDP также работал на маршрутизаторе. [6]
  • CDP должен иметь интерфейсы устройства, подключенные напрямую, в противном случае CDP не сможет обнаружить или отправить рекламные объявления на другое устройство. [4]
  • CDP можно использовать только между устройствами Cisco. Если соединение между парой состоит только из одного устройства Cisco, оно может использовать только протокол, нейтральный к поставщику: Протокол обнаружения канального уровня (LLDP).[1]

Команды

Хотя CDP включен по умолчанию, если он отключен, его можно повторно включить глобально (или на всех интерфейсах) с помощью команды: [1][4]

(config) # запуск cdp

Чтобы отключить его глобально:

(config) # нет запуска cdp

Чтобы включить его на определенных интерфейсах:

(config-if) # включение cdp

Чтобы отключить его на определенных интерфейсах:

(config-if) # нет включения cdp

В таблице, чтобы отобразить, установило ли устройство соединение между другим устройством или устройствами:

(имя устройства) # показать соседей cdp

Примечание: Эта команда покажет имена других устройств, порты, к которым они подключаются, название / номер модели и характеристики устройства.[1]

Чтобы показать трафик, проходящий между устройствами CDP:

(имя устройства) # показать трафик cdp

Эти команды могут помочь смягчить или обнаружить атаки CDP, такие как спуфинг CDP. Это также может помочь обнаружить недостатки в системе, например: несоответствующий родной VLAN, что могло препятствовать соединению между другими устройствами. [4]

Как работает CDP

Когда маршрутизатор, на котором запущен CDP, получает CDP пакет, он начинает строить таблицу со списком соседних устройств. Как только устройства обнаруживаются, они периодически отправляют друг другу пакеты обновленной информации. Этот пакет содержит различную информацию о типах и именах интерфейсов и устройств.[1]

Эти пакеты, отправленные через CDP, не зашифрованный, создавая сообщения между устройствами для удобного чтения в виде обычного текста.[7]

Спуфинг

Спуфинг CDP - это создание поддельных пакетов для имитации других устройств, реальных или произвольных. Эта атака - разновидность Отказ в обслуживании (DoS) атака, которая используется для флудинга подключенных устройств с помощью CDP. [8]

Злоумышленник может воспользоваться этой функцией, отправив тысячи поддельных пакетов CDP на многоадресная передача MAC адрес 01: 00: 0C: CC: CC: CC для заполнения таблиц соседей на любых устройствах в сети, на которых работает CDP.[9] Когда это происходит, другой трафик в сети может быть упавший поскольку у устройства нет ресурсов, необходимых для его маршрутизации. Устройство командная строка интерфейс также может перестать отвечать, что затрудняет отключение CDP во время продолжающейся атаки.

Немного администраторы может отключить CDP за счет невозможности воспользоваться преимуществами CDP.

Рекомендации

  1. ^ а б c d е ж грамм час Основы маршрутизации и коммутации. Сопутствующий гид. Индианаполис, Индиана: Cisco Press. 2014 г. ISBN  9781587133183. OCLC  878899739.
  2. ^ «LLDP-MED и протокол обнаружения Cisco [IP-телефония / передача голоса по IP (VoIP)]». Cisco. Получено 2019-06-28.
  3. ^ Кехлет, Стив. «Удобное выражение Tcpdump для сбора информации о CDP - страницы Стива Кехлета», 8 августа 2008 г. http://www.kehlet.cx/articles/186.html.
  4. ^ а б c d «Протокол обнаружения Cisco (CDP) - 26872 - Учебная сеть Cisco». learningnetwork.cisco.com. Архивировано из оригинал на 2015-09-28. Получено 2019-06-29.
  5. ^ ЕС-Совет. Тестирование на проникновение: тестирование сетевых угроз. 1-е изд. Клифтон-Парк, Нью-Йорк: курс обучения технологиям, 2011 г.
  6. ^ а б «Руководство по настройке протокола обнаружения Cisco, Cisco IOS версии 15M & T - протокол обнаружения Cisco версии 2 [поддержка]». Cisco. Получено 2020-01-09.
  7. ^ а б Попескич, Вальтер (16 декабря 2011 г.). «Атаки CDP - Атака по протоколу обнаружения Cisco». Как работает Интернет. Получено 2019-06-30.
  8. ^ Безопасность CCNA. Версия 2, буклет курса. Cisco Systems, Inc., Программа сетевой академии Cisco. Индианаполис, Индиана, США. 2015-11-13. ISBN  9781587133510. OCLC  949366471.CS1 maint: другие (связь)
  9. ^ Баррозу, Дэвид (2020-01-03), GitHub - tomac / yersinia: фреймворк для атак второго уровня, получено 2020-01-09