如何入侵 Cisco路由器pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范如何入侵 Cisco路由器

如何入侵 Cisco路由器


2008/11/7  编辑:佚名 来源:转载  关键词:

如何入侵 Cisco路由器

 

IOS自身欺骗 Cisco路由器是用IOS系统system来实现路由的细节功能, 因此它是路由系统system的灵魂。 Show命令的就在线系统system方式却为我们我自己打开一个偷窥之门。 众所周知, Cisco路由器中, 一般用户只能查看路由器的很少信息。 而能进入特权模式的用户才有资格查看全部信息和修改路由。 一般模式下, show的就在线协助系统system将不会列表所有可用的命令, 虽然75个show的扩展参数只能用于特权模式下(enable), 实际上只有13个受到限制。 这意味着一般用户(非特权用户)可以能够查看访问列表或其他路由安全相关信息。 重要安全相关的ACL信息可以能够被登录路由的非特权用户查看, 诸如: #show access-lists #show ip prot #show ip ospf dat #sh ip eigrp top 等命令可以能够就在非特权模式下泄露网络net敏感信息。 可以通过这些命令, 我们我自己能得出路由器配置的大致情况, 这对采取进一步的入侵起到辅助作用。 不过由于这种方式有请求需要用户已经有一个登录帐户, 因此得到这样的信息有一定难度。 *WCCP暗道  Cisco就在IOS 11.2版本中引入WCCP(Web Cache Control Protocol), 为Cisco缓存引擎提供协议通信。 Cisco缓存引擎为www提供透明缓存服务。 缓存引擎用WCCP来和其他cisco路由器通信。 路由器把HTTP数据信息发送send到缓存引擎主机中。 虽然这种方式默认是关闭的。 假如使能(enable)的话, 那么WCCP本身是没有认证机制的。 路由器将会把每一个发送send合法缓存引擎类型的Hello包的主机认为缓存引擎, 于是把HTTP数据信息缓存到那台主机。 这意味着恶意用户可以能够可以通过这种方式获取信息。 可以通过这种方式, 攻击者可以能够截获站点认证信息, 包括站点密码;替代实际WEB内容为我自己设计design的陷阱;可以通过路由彻底破坏Web提供的服务。 这种方式, 可以能够完全规避登录烦琐的攻击方法, 对Web提供全面而且致命的打击。 我们我自己既可关闭WCCP的启用机制, 也可可以通过ACL阻止WCCP发送sendHTTP流量给不信任主机来防止这样的恶劣情况发生。 *HTTP服务的困惑 Cisco就在IOS版本加入了远程管理路由的Web特性, 这对于新羽(newbie)的管理员来, 无疑是值得高兴的事情。 但引入方便的同一个时间, 隐患也随之进入。 网管bitscn_com1.基于拒绝式服务攻击的HTTP的漏洞     Cisco路由启用(enable)远程WEB管理, 很容易遭受DoS。 这种DoS能导致路由器停止stop对网络net请求的响应。 这是功能是Cisco路由的内嵌功能。 但启用这个特性, 可以通过构造一个不复杂的Http请求就一定会造成DoS攻击: http://<;router-ip>/%% 这种请求导致路由停止stop响应, 甚至引起路由器执行硬重置(hard reset)。 2.基于HTTP服务器查询的漏洞 Cisco 安全主张小组就在2000年10月30日公布了这个漏洞。 IOS 11.0引入可以通过Web方式管理路由。 ”?”是HTML规范中定义的CGI参数的分界符。 它也被IOS命令行接口解释成请求协助。 就在IOS 12.0中, 当问号邻接于”/”, URL解释器就不能够对的解释其含义。 当一个包括”?/”的URL对路由器HTTP服务器来进行请求, 并且提供一个有效的启用口令, 则路由器进入死循环。 因而引起路由崩溃并重起。 如果http起用, 浏览 http://route_ip_addr/anytest?/ ; 并且提供特权口令, 则可以能够导致DoS攻击, 导致路由停机或者重新启动。   除了让路由死亡之外, Http额外提供了一种可怕权限提高水平的漏洞, 如下所论。 3.Cisco IOS 认证漏洞     当HTTP服务器启用并且使用本地用户认证方式。 就在某些条件, 可以能够绕过认证并执行设备上的任意一个命令。 用户可以能够对设备完全的控制。 所有命令都将以最高特权执行(level 15)。 使用username 和password的路由设备帐户认证方式, 构造如下URL: http://router_ip_addr/level/xx/exec/…. (注:xx代表16至99之间的84种不同的组合攻击, 因为路由器硬件类型众多, 而IOS版本也存就在不同, 因此针对不同的路由器类型, 攻击组合数字不同。 ) 可以通过这种方式, 攻击者可以能够完全控制路由并可以能够改变路由表配置。 这种可怕的事实让网管也感到惊悸。 这种完整的控制方式将是网站数据信息通信枢纽的致命一击。 虽然Http漏洞带来如此之多的漏洞, 但这种漏洞最主要原因是因为启用http服务器管理路由的缘故, 由于这种管理是种命令行方式的替代物, 因此对于熟练的网管来说, 没有必要启动这种危害性很大的服务。 #no ip http server 的路由配置也成为时髦的安全配置语句。 网管u家u.bitscn@com 【就在SNMP中行走】 谈到Cisco路由的安全性, 我们我自己就就一定要涉及到SNMP这个看似不复杂, 实际扮演着重要角色的协议, 正因为它的存就在, 路由器的入侵变的丰富有趣多了。 *SNMP基础简介: 每个SNMP启用的路由设备都包含一个叫做管理信息模块(MIB), 这是一种包含不复杂等级的数据信息目录结构, 就在这种树结构中包含设备各种信息。 SNMP可以说是的命令GET, 可以能够检索MIB的信息, 而SET命令则可布置设置MIB变量。 一种用于监控和管理CISCO路由的的软件必备工具是MRTG, 至于怎么才能配置其用于Cisco设备的监控可以能够参阅LOG的《怎样就在Windows NT/2K下安装MRTG》一文(http://www.2hackers.org/cgi-bin/2hb...7&topic=212)。 就在路由器中配置SNMP的方法如下: (conf)#snmp-server community readonly RO (conf)#snmp-server community readwrite RW SNMP协议可以通过社区(community)字串的概念赋予对设备MIB对象访问的权限。 上例中, 布置设置了只读访问的社区字串readonly和可来进行读写*作的readwrite社区字串。 而大部分管理员中意使用public和private布置设置只读字串和读写字串, 疏不知, 这样轻易的结果将给网络net带来巨大的波动。 我们我自己可以能够就在【触及RouterKit】部分清楚认识到这种危害。   可以通过SNMP我们我自己可以能够方便管理和监控Cisco的设备(参阅Log文章介绍说明), 同一个时间也给攻击者带来可乘之机。 *Cisco IOS软件SNMP读写ILMI社区字串漏洞 ILMI是一个独立的工业标准, 用于配置ATM接口。 MIB是一个树形结构, 包括*作(只读)数据信息以及配置(读写)选择中项。 就在有漏洞的设备上, 可以通过就在SNMP请求中指定一个ILMI社团字符串, 可以能够访问整个树形管理结构中三个特定部分的对象:MIB-II系统system组, LAN-EMULATION-CLIENT MIB以及PNNI(Private Network-to-Network Interface)MIB。 每一部分的子集对象都可以能够使用相同的“ILMI”社团字符串修改。 MIB-II系统system组包括设备本身的可以说是信息。 能被修改对象的数目虽然是有限的。 例如包括: system.sysContact. system.sysLocation. system.sysName. Cisco IOS软件版本11.x和12.0允许使用一个非文档的ILMI社区字串未经授权就查看和修改某些SNMP对象。 其中就包括诸如上面所说的sysContact,sysLocation,和sysName对象,虽然修改它们将不会反应影响设备的正常*作, 但如果意外修改有可能会产生混乱。 剩下的对象包含于LAN-EMULATION-CLIENT和PNNI MIBs,修改这些对象可以能够反应影响ATM配置。 如果没有防止未授权使用ILMI社团字符串, 一台有漏洞的路由器有可能会遭受DoS攻击。 如果SNMP请求可以能够被有漏洞的设备接收, 那么没有适当授权, 就可以能够访问某些MIB对象, 违背了保密性。 没有授权就可以能够修改可读MIB对象的子集, 破坏了完整性。 而更具有危害性的方法是向SNMP端口发送send大量的读和写请求。 有漏洞的设备, 如果没有防范接收SNMP包的措施, 就一定会遭受DoS攻击, 导致路由重载。 至于怎么才能查看这些对象的信息, 可以能够参阅【触及RouterKit】部分。 *Cisco IOS软件层叠SNMP共享社区字串漏洞 Cisco 配置文件程序中, 意外建造和暴露SNMP共享字符串, 可以能够允许未授权地查阅或者修改感染的设备。 这种漏洞是调用SNMP函数中的缺陷引起的。 SNMP利用“community”的标记来划分“object”组,可以能够就在设备上查看或者修改它们。 就在组中的数据信息组织MIB。 单个设备可以能够有几个MIBs, 连载就在一起形成一个大的结构, 不同的社团字符串可以能够提供只读或者读写访问不同的, 有可能重叠的大型数据信息结构的一部分。 启用SNMP, 键入“snmp-server”命令时, 如果社区就在设备上不是以有效的社区字串存就在, 就一定会不可预料地添加一个只读社区字串。 如果删除它, 这个社区字串将会就在重载设备时重新出现。 缺陷源于SNMPv2的“通知(informs)”功能的实现, 这个功能包括交换只读社区字符串来共享状态信息。 当一个有漏洞的设备处理一条定义接收SNMP traps(陷阱消息)主机的命令时(常规snmp-server配置), 就在trap消息中指定的社团也还是配置成通用, 如果它就在保存配置中没有定义。 即便社区就在前面被删除并且配置就在系统system重载前保存到存储器, 也会发生这种情况。 网管bitscn_com当可以通过snmpwalk(一种检测SNMP配置对的性的必备工具), 或者使用设备的只读社团字符串遍历基于视图的访问控制MIB来检查设备时, 就一定会泄漏读写社团字符串。 这意味着知道只读社区字串允许读访问存储就在设备中的MIB, 导致信息泄露。 而更为严重的是, 如果知道读写社区字符串就可以能够允许远程配置的路由, 可以能够绕开授权认证机制, 从而完全控制路由器的整体功能。 题外话:一个被发现漏洞很具有讽刺意味, 使用nmap等安全扫描必备工具对路由来进行扫描, 居然会产生DoS的攻击。 有兴趣的网友朋友可以能够参阅:http://online.securityfocus.com/arc...29/2002-12-05/1 ; 【另类攻击】 前面的漏洞综述, 似乎我们我自己都就在围绕着怎么才能获得路由配置信息而讲述, 因为得到一个完整Router-config, 那么我们我自己便掌握了路由的世界。 下面的入侵方法则另辟奚径。 *TFTP的艺术 Cisco的熟练管理员, 一般习惯于Cisco免费提供的TFTP服务器(http://www.cisco.com/pcgi-bin/table...芑峤樯苁褂胏opy running-config tftp的命令来保存路由配置文件程序。 于是获得TFTP就有有可能获得路由配置文件程序。 幸运的是, TFTPD守护程序存就在目录遍历的漏洞, 允许远程用户从目标系统system中获得任意文件程序。 我们我自己可以能够可以通过下面不复杂方法获取目标系统system中的任意一个文件程序: 网管网www_bitscn_comExploit tftp> connect target_machine tftp> get cisco-conf.bin Recieved 472 bytes in 0.4 seconds tftpd> quit   而这个免费软件还没有任意一个修补措施, 因此借助这种方式, 可以能够不费吹灰之力就有可能得到一份完整的路由配置存档。 *SSH安全感 可以通过Telnet管理方式, 造就了一批密码窃听者。 可以通过明文的ASCII的网络net传输形式, 窃听者随便放置嗅探装置(sniffer), 就可安闲的等待着登录用户, 密码以及各类敏感信息全自动送到面前。 SSH加密方式就在路由器的应用, 很大很大的消灭了这种嚣张的气焰。 但入侵与反入侵本来就是个古老的话题。 于是, SSH也现在开始有了危机感。 Cisco SSH存就在着三个精妙且复杂的漏洞, 这种攻击的手法所涉及的知识已经很大很大超出本文的范畴, 所以以简略的形式给予说明并指出应用漏洞的文章出处。 (这些漏洞整理自中国网络net安全响应中心CNSAN, http://www.cns911.com/holes/router/...焦ぷ鞲柚戮础?/a>) 1.RC-32完整性检查漏洞 参考:http://www.core-sdi.com/files/files/11/CRC32.pdf ; 作者运用及其复杂的数学方式来证明这种漏洞的存就在性, 看懂这片文章有请求需要相当的数学功底, 本人就在看这篇文章的时候也是头痛万分。 不过文章中的理论分析十分精彩, 初学者可以能够省略此漏洞。 网管下载dl.bitscn.comCNSAN的文章则指出“要使这种攻击成功, 攻击者要拥有一或者2个已知chipertxt/plaintext串, 这一般并不难, 因为每个进程启动时的问候屏幕是固定并可探测的, 这样可以能够可以通过SNIFF进程来获得相应的chipertext”。 2.通信分析 参考:http://online.securityfocus.com/archive/1/169840 ; CNSAN的文章论述:“要利用这个漏洞, 攻击者就一定要捕获信息包, 这样可以能够分析使用的密码长度并用暴力手段猜测密码”。 就在SSH中封装明文数据信息时, 数据信息从8字节的边界上现在开始封装并对数据信息来进行加密。 这样的包就在明文数据信息长度之后来进行某中数学封装, SSH就在加密通道内以明文的方式传输, 结果, 能检测SSH传输的攻击就能获得SSH内的内容。 文章还友善的给出了Patch程序来修正这个漏洞。 3.就在SSH 1.5协议中KEY恢复 参考:http://www.securityfocus.com/archive/1/161150 ; CNSAN的文章论述:要利用这个协议, 攻击者就一定要能嗅探SSH进程并能对SSH服务器建立连载, 要恢复SERVER KEY, 攻击者就一定要执行2^20+2^19=1572864 连载, 由于KEY是一小时的生存时间, 所以攻击者就一定要每秒执行400此连载。 这种技巧的要求非常高, 通常的远程入侵中, 使用KEY来获得SSH会话过程的概率相当之低。 *本地密码劫持 网管u家bitscn.net    就在所有入侵中, 这种类型的入侵活动系列可谓是蓄谋以久的野蛮做法。 方法本来的意图是用于管理员忘记密码后的恢复措施。 而技术做为双刃剑的一面, 便就在于我们我自己怎么才能使用它。     如果您有一台笔记本电脑, 您有一根与路由器相应类型的连载线, 那么您配备了入侵路由的武器。 剩下的时间, 您将思考怎么才能闭开网管的眼睛, 把连载线与路由器连载。 以后的动作, 有请求需要您行动迅速了。 (以25xx系列路由为例) 1.切断路由器的电源。 2.连载电脑计算机与路由器。 3.打开超级终端(CTL-Break in Hyperterm)。 4.就在启动路由器的30秒时间内, 迅速按CTL-Break组合键, 使路由器进入rom monitor 状态, 出现提示符如下: Followed by a > prompt... 5.输入 O/R 0x2142, 修改配置注册器(config register)路由器从Flash 网管bitscn_commemory引导。 6.输入I, 路由器初始化布置设置后重新启动。 7.输入系统system配置 对话提示符敲no,会一直不断等提示信息显示: Press RETURN to get started。 8.输入enable 命令, 出现Router# 提示符。 这是, 我们我自己可以能够完全使用show命令查看路由中的一切配置, 并可转储到电脑计算机上。 如果使用了enable的加密方式, 虽然现就在再也不能够看, 但可以能够使用必备工具来进行破解。 当然, 粗鲁的做法是直接修改: Router#conf term Router(conf)#enable password 7 123pwd 来进行完上面*作, 别忘了恢复路由的正常状态, 否则网管很快就能发现问题所就在: Router(conf)#config-register 0x2102 Router(conf)#exit 至此, 我们我自己从几个方面试图获得整个路由的配置, 那么怎么才能进一步扩大入侵的战果, 一些令人激动的必备工具给我们我自己带来的无比愉悦的方便。 【触及RouterKit】 就如攻击视窗系统system人中意用NTRK, 攻击Linux的人则中意用rootkit, Router的世界也有这优秀的Kit, 让人爱不释手。 *密码破解机 得到路由配置文件程序后, 如果看见就在特权模式的配置中有可能会有:“enable password 7 14341B180F0B187875212766”这样的加密字串。 那么恭喜了, enable password命令的密码加密机制已经很古老,存就在极大安全漏洞。 可以通过一些不复杂的必备工具就可以能够得到破解的特权密码。 网管u家bitscn.net 实用必备工具资源: SPHiXes 的C版本破解机:http://www.alcrypto.co.uk/cisco/c/ciscocrack.c ; Riku Meskanen的Pearl版本:http://www.alcrypto.co.uk/cisco/perl/ios7decrypt.pl ; BigDog的Psion 3/5 版本:http://www.alcrypto.co.uk/cisco/psion/cisco.opl ; Major Malfunction的Palm-Pilot破解机:http://www.alcrypto.co.uk/cisco/pilot/ciscopw_1-0.zip ; Boson Windows版本GetPass:http://www.boson.com/promo/utilitie...ass_utility.htm ; Mudge描述的漏洞生成原因:http://www.alcrypto.co.uk/cisco/mudge.txt ; 从这些资源, 得知, password的安全机制是如此的薄弱, 因此, 就在现就在的配置环境中一般采用enable secrect较新安全加密机制。 *RAT的丰厚礼物 RAT是系统system管理网络net安全研究机构(SANS)开发的免费路由审核必备工具(route audit tools)。 这套必备工具能全自动和立即的检索路由配置的情况, 并针对配置的问题给出极其详尽的漏洞发现和推荐修改配置, 并能寻址SNMP的漏洞给予安全主张。 这种安全的配置文档对于管理员和黑帽来说, 都是非常珍贵的资料。 RAT是用Pearl语言编写而成, 因此就在Windows有请求需要安装ActiveState Perl的环境。 安装过程十分不复杂, 对于路由的扫描结果以Html和ASCII文本格式给予用户查看。 下面是扫描的具体实例。 网管u家www.bitscn.netExploit: C:\>perl c:\rat\bin\rat –a –u username –w passwd –e enablepass snarfing router_ip_addr...done. auditing router_ip_addr...done. ncat_report: Guide file rscg.pdf not found in current directory. Searching... Linking to guide found at c:\rat/rscg.pdf ncat_report: writing .ncat_fix.txt. ncat_report: writing .ncat_report.txt. ncat_report: writing .html. ncat_report: writing rules.html (cisco-ios-benchmark.html). ncat_report: writing all.ncat_fix.txt. ncat_report: writing all.ncat_report.txt. ncat_report: writing all.html. (注:-a参数扫描所有漏洞选择中项, -u登录帐户, -w登陆密码, -e特权模式密码。 扫描产生的漏洞检测报告和安全主张则使用ncat_report写入相关文件程序中。 是实际的路由IP地址) 可以能够说RAT 是IOS的安全配置检测必备工具, 提供了详细的配置安全漏洞, 并提供Fix script for 的修补脚本, 这样周全的必备工具不只是管理员的福音, 也给入侵者带来巨大好处。 如果入侵者得到这样一份周详的报告, 情况会有多糟糕? 可惜的是, 这样优秀的程序就在对路由配置文件程序来进行检索时, 所用的snarf程序是以telnet的方式对配置文件程序来进行检索, 这样的话, 任意一个传输过程都将是明文的方式, 而程序的文档介绍说明中推荐使用的SSH协议本身也并不完善(可参阅【另类攻击】部分的介绍说明), 这样就为攻击者提供了偷窃的途径, 从而获得路由全面的明晰配置图, 这样结果对于网管来说将是多么的不幸。 因此我们我自己有请求需要谨慎的使用这个威力巨大的必备工具。 网管网www.bitscn.com 当然, 这个优秀的免费必备工具带给我们我自己的另一个丰厚的礼物便是程序中全自动装入《路由安全配置指南》(RSCG)的PDF文档, 里面详尽的Cisco安全路由配置文档介绍说明了路由的管理和安全配置方式, 给出薄弱的路由配置配置说明。 这种实惠既便利了安全工作者对于理解, 也成为了攻击者利用漏洞的极佳参考。 *终极力量Solarwinds Solarwinds公司出品Solarwinds.net的全面产品中包容了针对许多管理监测Cisco设备的精美必备工具, 良好的GUI、容易*作的截面、还是有Perfect的Toolbar(比较起庞大而复杂的Ciscowork管理软件, 我偏向于Solarwinds提供的不复杂配置必备工具, 当然Ciscowork如果被攻击者运用, 那么破坏的威力简直可以能够搞拷一个大型网站的通信枢纽。 至于Ciscowork的使用说明, 因为篇幅问题, 不就在赘述)。 主要必备工具简介: SNMP Dictionary Attack SNMP字典攻击用于测试SNMP的社区字串的强度。 就在SNMP字典攻击中, 攻击程序最先是装载社区字串习惯用语字典和字典编辑器编辑的字典, 之后按照字典排序来进行猜解。 SNMP Brute Force Attack SNMP暴力破解程序将会以字母和数字的组合形式远程对SNMP的只读字串和读写字串来进行穷举破解, 同一个时间我们我自己可以能够定义包括的字符和字串的估计长度, 这样有助于加快破解速度。 网管论坛bbs_bitsCN_com Router Security Check 路由安全检查程序能尝试的进入到路由器中并提示IOS是否有请求需要升级, 同一个时间它也全自动尝试只读和读写的SNMP社区字串。 下面就是一个实际检测的结果: IP Address202.xx.xx.xxSystem Namecisco7507Contact--Test Contact—010xxxxxxLocationCisco Internetwork Operating System Software IOS (tm) RSP Software (RSP-AJSV-M), Version 12.0(7), RELEASE SOFTWARE (fc1)Copyright (c) 1986-1999 by cisco Systems, Inc.Compiled Wed 13-Oct-99 23:20 by phanguyeRead-Only Community StringsILMIxxxxRead-Write Community StringsILMIXxxx 注:从结果看, 我们我自己获得了读写字串, 这种利用方式就在前面已经论述过, 不就在重复。 使用x隐含了真实的属性资料。 Remote TCP Session Reset 可以能够远程显示路由器上的所有TCP活动系列连载, 更有意思的是, 如果得知SNMP社区的读写字串, 这个程序可以能够随意切断TCP的连载, 这种恶作剧也常常让人苦恼不堪。 Cisco Router Password Decryption 不言而喻, 这个程序是用来破解特权模式下的密码。 至于怎么才能取得密码, 请参阅【触及RouterKit】的说明。 当然, 除了上面几种必备工具外, Solarwinds来集合了实用的Config Editor/View, upload Config, Download Config, Running Vs Startup Configs, Proxy Ping, Advanced CPU Load, Router CPU Load路由配置管理必备工具, 可以通过必备工具名字我们我自己不难得出这些必备工具的用途。 Solarwinds牛刀小试 这里将使用Solarwinds的必备工具组合来进行一次高层次的入侵演习。 不过这里的先决条件是, 您已经可以通过各种漏洞探测针方式获取了社区可读写的字串(粗鲁的做法就可利用可以通过Solarwinds SNMP暴力破解方式来获取读写字串)。 最先是, 建造一个包含新密码的文本文件程序: enable password New*Password 注:这种布置设置甚至可以能够覆盖enable secret 5加密布置设置, 不清楚Cisco既然得知Password 7方式加密是非常容易破解的, 为什么还要保留这个遗物。 接着, 就在文件程序中输入修改登录密码的语句: line vty 0 4password New*Passwordlogin 启动Solarwinds自带的TFTP服务器, 把建造的文件程序放置到服务器的根目录中。 并就在Config uploader实用必备工具中输入路由地址, 读写字串和TFTP服务器的地址, 并就在TFTP目录中选择中刚才建造的文件程序, 按“Copy config PC to Router/Switch”。 大致过程如图示: 可以通过这种隐蔽的方式, 我们我自己更改了路由器的登录密码和特权模式密码。 这种把戏经常让可以通过远程管理路由的网管大吃一惊, 但重新启动路由后我们我自己布置设置的密码就失效了。 原因就在于我们我自己是就在Running-conf模式下修改路由配置, 而没有保存到NVRAM中。 当然, 许多过激的做法干脆使用修改的密码登录路由器, 把配置文件程序写(write)到NVRAM。 强权控管路由设备。 网管bitscn_com 【几点安全主张】 综述了这些触目惊心的漏洞和威力无比必备工具的应用, 我们我自己是否应该行动起来, 采取适当的措施来保护自身利益呢? *有关联于IOS的问题 1.可以通过no ip http server取消http服务, 消除Http带来的隐患。 2.限制SNMP访问配置 access-list 10 permit 204.50.25.0 0.0.0.255snmp-server community readwrite RW 10 (可以通过ACL限制受信主机访问)###########监测非授权的SNMP访问配置##########snmp-server enable traps (布置设置陷阱)snmp-server trap-authentication (怎么才能认证失败, 告诉路由发送send陷阱。 )snmp-server host 204.50.25.5 (陷阱消息接受工作站)(注:ciscoworks 工作站可以能够截获这些信息。 ) 3.及时升级Cisco的IOS程序或者修补程序 4.推荐阅读RAT中的RSCG文档主张 5.利用安全必备工具对路由来进行安全检查。 有关联于安全的主张问题, 不是一劳永逸的事情, 漏洞就在暗处挖掘着, 新的技术就在会一直不断膨胀着, 因此上面的几点主张只作为参考, 实际的运用当中我们我自己应该根据记录实际情况作出对的的策略。

相关文章
  • 如何识别听到的歌名?百度音乐听歌识曲怎么用?
  • 亲子共成长平台如何完成注册?亲子共成长注册教程
  • 微信延时转账如何撤回?微信延时转账不可以撤回的!!!
  • 中秋节快到了如何巧存月饼
  • CAD保存文件时出现致命错误如何处理怎么解决?
  • 快手ID如何才能升级到快手号?快手ID升级至快手号详细教程
  • AutoCAD 2007修改标注文字的方法。AutoCAD 2007如何修改标注文字?
  • windows10如何才可以查看当前系统的激活码?
  • CAD2007创建新文件的方法,AutoCAD 2007如何新建文件?
  • 影音先锋如何才能能够添加字幕?
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图