熟悉Cisco的朋友都知道CDP協(xié)議是思科公司獨特的發(fā)現(xiàn)協(xié)議，在思科公司出產(chǎn)的所有路由器和交換機里面都能運行此協(xié)議，一臺運行C D P的路由器或交換機能夠得知與它直接相連的鄰居端口和主機名信息。

也可以得知一些附加信息如：鄰居的硬件模式號碼及其性能。這樣通過CDP的我們能得到相關聯(lián)的路由器名、路由器端口信息、IOS版本信息、IOS平臺信息、硬件版本信息，以及相關的鏈路信息從而描述出整個網(wǎng)絡的拓撲情況。這時候黑客就會利用CDP欺騙攻擊會讓網(wǎng)絡管理員措手不及。有下面給大家說明兩種目標可能遭到CDP欺騙攻擊，及應對辦法。

一、兩種CDP欺騙類型

1.針對中央管理軟件，各種高端網(wǎng)管軟件Cisco works 、IBM Tivoli 、HP open view,都依賴CDP完成Cisco主機發(fā)現(xiàn)。如果發(fā)送偽造的CDP幀，聲稱在網(wǎng)絡上新出現(xiàn)了一臺Cisco設備，那么管理軟件將試圖通過SNMP與其聯(lián)系，此時就有機會捕獲所使用的ＳＮＭＰCommunity name string ,這樣很可能是網(wǎng)絡中其他Cisco設備所使用的名稱，而且很可能會導致這些設備遭到攻擊。此外，CDP欺騙還可用于惡作劇，分散網(wǎng)絡管理員的注意力。

2.第二個目標就是Cisco IP 電話Cisco ip電話打開后，就會和相連的交換機開始交換CDP數(shù)據(jù)，相互識別，交換機利用CDP通知電話，讓它知道語音流量將使用那個VLAN，不難發(fā)現(xiàn)，這里有機會實施欺騙攻擊，例如注入CDP幀。這樣會為電話分配一個錯誤的VLAN。

這些手動偽造的CDP幀是如何制造出來的呢？主要有兩種工具可定制偽造CDP幀。下面讓我們先看看Linux平臺下的CDP工具程序——Yersinia。

Yersinia 是執(zhí)行第二層攻擊的一個工具，幫助黑箱測試者在他的日常工作中檢查2層協(xié)議配置的可靠性。Yersinia 能夠操作第二層網(wǎng)絡協(xié)議和允許攻擊者阻擋交換機通過注入偽生成樹協(xié)議，DHCP, VLAN 中繼協(xié)議和其他信息到網(wǎng)絡中。

安裝方式：

tar zxvf yersinia-0.7.tar.gz

./configure;make;make install
以GUI界面啟動Yersinia輸入“Yersinia –G”；以字符界面啟動輸入“Yersinia –I”

圖1

二、防御措施

運行CDP的交換機/路由器定時廣播帶有CDP更新數(shù)據(jù)的報文，用cdp timer命令決定CDP更新數(shù)據(jù)間隔，缺省值為60秒，而且CDP默認已啟用。
我們在一臺Cisco Catalyst 2924交換機上對CDP數(shù)據(jù)包的診斷輸出信息?？梢钥吹?，交換機在每個活動接口發(fā)送CDP數(shù)據(jù)包。

SW#debug cdp packet
03:36:26 CDP-PA Packet received form R1 on interface FastEthernet0/5
03:36:26 **Entry found in cache**
03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/1
03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/2
03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/3
03:36:30 CDP-PA version 2packet sent out on FastEthernet 0/4

我們?nèi)绾侮P閉CDP協(xié)議呢？

需要在交換機/路由器的全局模式下用no cdp enable
如果是Cisco CatOS則使用set cdp disable來禁用CDP。

【編輯推薦】

1. CDP協(xié)議分析－sniffer應用系列
2. Cisco IOS CDP狀態(tài)頁腳本插入漏洞
3. 關于一些路由協(xié)議的漏洞