奔流不息的網絡里，Web綻放著絢麗的色彩、電子郵件呼哧的穿梭網際、語音電話、網絡會議、文件傳輸，各種數據交織錯落，形成輝煌的數字世界。在喧鬧的數字世界底層，存在一種精致的次序，這種次序決定著數據的選路、異構介質銜接、協議的交互等功能。而這一次序的締造者正是布滿整個網絡的路由器。于是，路由器成了數據通信的交通亭，也成為了眾多黑帽(Blackhat)爭奪的目標之一。

Cisco路由器占據這網絡世界的絕對位置，于是安全焦點效應激發了路由入侵與防御而產生的精美藝術。下面我將由淺入深的方式講述Cisco入侵的手段以及防御策略。

【路由器感冒】

路由器從本身的IOS來說，并不是一個健壯的體系，因而它偶爾也會讓自己感冒發燒。系統感冒發燒起來，抵抗力自然就降低不少。

*IOS自身欺騙

Cisco路由器是用IOS系統來實現路由的細節功能，因此它是路由系統的靈魂。Show命令的在線系統方式卻為我們打開一個偷窺之門。

眾所周知，Cisco路由器中，一般用戶只能查看路由器的很少信息。而能進入特權模式的用戶才有資格查看全部信息和修改路由。一般模式下，show的在線幫助系統不會列表所有可用的命令，雖然75個show的擴展參數只能用于特權模式下(enable)，實際上只有13個受到限制。這意味著一般用戶(非特權用戶)可以查看訪問列表或其他路由安全相關信息。

重要安全相關的ACL信息可以被登錄路由的非特權用戶查看，諸如：

#show access-lists

#show ip prot

#show ip ospf dat

#sh ip eigrp top

等命令可以在非特權模式下泄露網絡敏感信息。通過這些命令，我們能得出路由器配置的大致情況，這對采取進一步的入侵起到輔助作用。不過由于這種方式需要用戶已經有一個登錄帳戶，因此得到這樣的信息有一定難度。

*WCCP暗道

Cisco在IOS 11.2版本中引入WCCP(Web Cache Control Protocol)，為Cisco緩存引擎提供協議通信。Cisco緩存引擎為www提供透明緩存服務。緩存引擎用WCCP來和其他cisco路由器通信。路由器把HTTP數據發送到緩存引擎主機中。

雖然這種方式默認是關閉的。假如使能(enable)的話，那么WCCP本身是沒有認證機制的。路由器將會把每一個發送合法緩存引擎類型的Hello包的主機認為緩存引擎，于是把HTTP數據緩存到那臺主機。這意味著惡意用戶可以通過這種方式獲取信息。

通過這種方式，攻擊者可以截獲站點認證信息，包括站點密碼;替代實際WEB內容為自己設計的陷阱;通過路由徹底破壞Web提供的服務。這種方式，可以完全規避登錄煩瑣的攻擊方法，對Web提供全面而且致命的打擊。

我們既可關閉WCCP的啟用機制，也可通過ACL阻止WCCP發送HTTP流量給不信任主機來防止這樣的惡劣情況發生。

*HTTP服務的困惑

Cisco在IOS版本加入了遠程管理路由的Web特性，這對于新羽(newbie)的管理員來，無疑是值得高興的事情。但引入方便的同時，隱患也隨之進入。

1.基于拒絕式服務攻擊的HTTP的漏洞

Cisco路由啟用(enable)遠程WEB管理，很容易遭受DoS。這種DoS能導致路由器停止對網絡請求的響應。這是功能是Cisco路由的內嵌功能。但啟用這個特性，通過構造一個簡單的Http請求就會造成DoS攻擊：

http:///%%

這種請求導致路由停止響應，甚至引起路由器執行硬重置(hard reset)。

2.基于HTTP服務器查詢的漏洞

Cisco 安全建議小組在2000年10月30日公布了這個漏洞。IOS 11.0引入通過Web方式管理路由?！?”是HTML規范中定義的CGI參數的分界符。它也被IOS命令行接口解釋成請求幫助。在IOS 12.0中，當問號鄰接于”/”，URL解釋器就不能正確解釋其含義。當一個包括”?/”的URL對路由器HTTP服務器進行請求，并且提供一個有效的啟用口令，則路由器進入死循環。因而引起路由崩潰并重起。

如果http起用，瀏覽

http://route_ip_addr/anytest?/

并且提供特權口令，則可以導致DoS攻擊，導致路由停機或者重啟。

除了讓路由死亡之外，Http額外提供了一種可怕權限提升的漏洞，如下所論。

3.Cisco IOS 認證漏洞

當HTTP服務器啟用并且使用本地用戶認證方式。在某些條件，可以繞過認證并執行設備上的任何命令。用戶可以對設備完全的控制。所有命令都將以最高特權執行(level 15)。

使用username 和password的路由設備帳戶認證方式，構造如下URL：

http://router_ip_addr/level/xx/exec/….

(注：xx代表16至99之間的84種不同的組合攻擊，因為路由器硬件類型眾多，而IOS版本也存在不同，因此針對不同的路由器類型，攻擊組合數字不同。)

通過這種方式，攻擊者可以完全控制路由并可以改變路由表配置。這種可怕的事實讓網管也感到驚悸。這種完整的控制方式將是網站數據通信樞紐的致命一擊。

雖然Http漏洞帶來如此之多的漏洞，但這種漏洞最主要原因是因為啟用http服務器管理路由的緣故，由于這種管理是種命令行方式的替代物，因此對于熟練的網管來說，沒有必要啟動這種危害性很大的服務。

#no ip http server　的路由配置也成為時髦的安全配置語句。

【在SNMP中行走】

談到Cisco路由的安全性，我們就必須涉及到SNMP這個看似簡單，實際扮演著重要角色的協議，正因為它的存在，路由器的入侵變的豐富有趣多了。

*SNMP基礎簡介：

每個SNMP啟用的路由設備都包含一個叫做管理信息模塊(MIB)，這是一種包含簡單等級的數據目錄結構，在這種樹結構中包含設備各種信息。SNMP基本的命令GET，可以檢索MIB的信息，而SET命令則可設置MIB變量。一種用于監控和管理CISCO路由的的軟件工具是MRTG，至于如何配置其用于Cisco設備的監控可以參閱LOG的《怎樣在Windows NT/2K下安裝MRTG》一文(http://www.2hackers.org/cgi-bin/2hb/topic.cgi?forum=7&topic=212)。

在路由器中配置SNMP的方法如下：

(conf)#snmp-server community readonly RO

(conf)#snmp-server community readwrite RW

SNMP協議通過社區(community)字串的概念賦予對設備MIB對象訪問的權限。上例中，設置了只讀訪問的社區字串readonly和可進行讀寫操作的readwrite社區字串。而大部分管理員喜歡使用public和private設置只讀字串和讀寫字串，疏不知，這樣輕易的結果將給網絡帶來巨大的波動。我們可以在【觸及RouterKit】部分清楚認識到這種危害。

通過SNMP我們可以方便管理和監控Cisco的設備(參閱Log文章介紹)，同時也給攻擊者帶來可乘之機。

*Cisco IOS軟件SNMP讀寫ILMI社區字串漏洞

ILMI是一個獨立的工業標準，用于配置ATM接口。MIB是一個樹形結構，包括操作(只讀)數據以及配置(讀寫)選項。在有漏洞的設備上，通過在SNMP請求中指定一個ILMI社團字符串，可以訪問整個樹形管理結構中三個特定部分的對象：MIB-II系統組，LAN-EMULATION-CLIENT MIB以及PNNI(Private Network-to-Network Interface)MIB。每一部分的子集對象都可以使用相同的“ILMI”社團字符串修改。

MIB-II系統組包括設備本身的基本信息。能被修改對象的數目雖然是有限的。例如包括：

system.sysContact.

system.sysLocation.

system.sysName.

Cisco IOS軟件版本11.x和12.0允許使用一個非文檔的ILMI社區字串未經授權就查看和修改某些SNMP對象。其中就包括諸如上面所說的"sysContact","sysLocation",和"sysName"對象,雖然修改它們不會影響設備的正常操作，但如果意外修改可能會產生混亂。剩下的對象包含于LAN-EMULATION-CLIENT和PNNI MIBs,修改這些對象可以影響ATM配置。如果沒有防止未授權使用ILMI社團字符串，一臺有漏洞的路由器可能會遭受DoS攻擊。

如果SNMP請求可以被有漏洞的設備接收，那么沒有適當授權，就可以訪問某些MIB對象，違背了保密性。沒有授權就可以修改可讀MIB對象的子集，破壞了完整性。而更具有危害性的方法是向SNMP端口發送大量的讀和寫請求。有漏洞的設備，如果沒有防范接收SNMP包的措施，就會遭受DoS攻擊，導致路由重載。

【編輯推薦】

1. IOS觸發cisco交換機故障恢復方案匯總
2. Cisco防火墻服務模塊應用檢查拒絕服務漏洞
3. Cisco華為和Intel交換機的對比賞析