CDP-спуфинг

Атака типа «отказ в обслуживании» на сетевые устройства

В компьютерных сетях подмена CDP — это метод, используемый для нарушения работы сетевых устройств, использующих протокол Cisco Discovery Protocol (CDP) для обнаружения соседних устройств. Подмена CDP — это угроза безопасности сети, которую можно устранить, приняв меры предосторожности. ^[1]

История

CDP был создан компанией Cisco в 1994 году. ^[2] Первоначально его целью было облегчить поиск других устройств в сети. ^[1] CDP может использоваться между маршрутизаторами Cisco , коммутаторами и другим сетевым оборудованием для объявления их версии программного обеспечения, возможностей и IP-адреса. ^[3]

Существуют две версии CDP: CDPv1 и CDPv2:

• CDPv1 мог обнаруживать базовую информацию между сетевыми устройствами. Эти устройства могли получать информацию только о сетевом устройстве, которое было напрямую подключено к нему.

• CDPv2 включает в себя больше утилит, таких как проверка ошибок, допущенных при настройке двух устройств (например, настройка несовпадающих собственных VLAN). ^[4]

Использование

CDP включен по умолчанию на всех маршрутизаторах, коммутаторах и серверах Cisco . Протокол может быть отключен по всей сети; однако, если он отключен на интерфейсе и инкапсуляция изменена, он будет снова включен на этом интерфейсе. ^{[5] [6]} Протокол чаще всего используется для помощи сетевым администраторам, облегчая поиск и обнаружение устройств. Когда устройства обнаруживаются проще, это может помочь с определенными сетевыми проблемами, размещением устройств, управлением сетью и другими сетевыми задачами. ^[1]

Хотя это может быть полезными функциями, злоумышленники могут накапливать эту информацию об устройствах, что делает тип устройства, IP-адрес и версию IOS открытыми и уязвимыми. Злоумышленники могут использовать эту информацию для имитации других устройств, кражи информации и создания других различных сетевых проблем. ^[1]

Popeskic рекомендует отключить CDP на всем устройстве, а не только на интерфейсах, чтобы полностью снизить угрозу подмены CDP или атак через CDP. Некоторые предлагают отключать CDP, если он не используется на устройстве или если он не является необходимостью для устройства. ^[7]

Требования

• CDP будет работать только тогда, когда пакет содержит заголовок Subnetwork Access Protocol (SNAP) . Интерфейс также должен поддерживать SNAP, чтобы CDP работал на маршрутизаторе. ^[6]

• CDP должен иметь интерфейсы устройства, подключенные напрямую, в противном случае CDP не сможет обнаруживать и отправлять рекламу на другое устройство. ^[4]
• CDP может использоваться только между устройствами Cisco. Если соединение между парой состоит только из одного устройства Cisco, оно может использовать только нейтральный для поставщика протокол: Link Layer Discovery Protocol (LLDP) . ^[1]

Команды

Хотя CDP включен по умолчанию, если он отключен, его можно повторно включить глобально (или на всех интерфейсах) с помощью команды: ^{[1] [4]}

(config)# cdp запустить

Чтобы отключить его глобально:

(config)# cdp не запущен

Чтобы включить его на определенных интерфейсах:

(config-if)# включить cdp

Чтобы отключить его на определенных интерфейсах:

(config-if)# нет cdp включен

Чтобы отобразить в таблице, установило ли устройство соединение с другим устройством или устройствами:

(имя устройства)# показать соседей cdp

Примечание : эта команда покажет имена других устройств, порты, к которым подключены устройства, название/номер модели и характеристики устройства. ^[1]

Чтобы отобразить трафик, проходящий между устройствами CDP:

(имя устройства)# показать трафик cdp

Эти команды могут помочь смягчить или обнаружить атаки CDP, такие как подмена CDP. Это также может помочь обнаружить недостатки в системе, например, несоответствующие собственные VLAN , которые могут препятствовать соединению между другими устройствами. ^[4]

Как работает CDP

Когда маршрутизатор, работающий по протоколу CDP, получает пакет CDP , он начинает строить таблицу, в которой перечислены соседние устройства. После обнаружения устройств они периодически отправляют друг другу пакет обновленной информации. Этот пакет содержит различную информацию об интерфейсах, типах и именах устройств. ^[1]

Эти пакеты, отправляемые через CDP, не шифруются , что позволяет легко читать сообщения между устройствами в виде обычного текста. ^[7]

Спуфинг

Спуфинг CDP — это создание поддельных пакетов для имитации других устройств, как реальных, так и произвольных. Эта атака является типом атаки типа «отказ в обслуживании» (DoS) , которая используется для затопления подключенных устройств с использованием CDP. ^[8]

Атакующий может использовать эту функциональность, отправляя тысячи поддельных пакетов CDP на многоадресный MAC- адрес 01:00:0C:CC:CC:CC, чтобы заполнить таблицы соседей на любых устройствах в сети, на которых запущен CDP. ^[9] Когда это происходит, другой трафик в сети может быть сброшен , поскольку у устройства нет ресурсов, необходимых для его маршрутизации. Интерфейс командной строки устройства также может перестать отвечать, что затруднит отключение CDP во время продолжающейся атаки.

Некоторые администраторы могут отключить CDP, что приведет к невозможности воспользоваться преимуществами CDP.

Ссылки

1. Основы маршрутизации и коммутации. Сопутствующее руководство . Индианаполис, Индиана: Cisco Press. 2014. ISBN 9781587133183. OCLC  878899739.
2. "LLDP-MED и протокол обнаружения Cisco [IP-телефония/передача голоса по IP (VoIP)]". Cisco . Получено 28.06.2019 .
3. Келет, Стив. «Удобное выражение Tcpdump для сбора информации CDP — страницы Стива Келета», 8 августа 2008 г. http://www.kehlet.cx/articles/186.html.
4. "Cisco Discovery Protocol (CDP) - 26872 - Cisco Learning Network". learningnetwork.cisco.com . Архивировано из оригинала 2015-09-28 . Получено 2019-06-29 .
5. EC-Council. Тестирование на проникновение: Тестирование сетевых угроз. 1-е изд. Клифтон Парк, Нью-Йорк: Курс Технологии Cengage Learning, 2011.
6. "Руководство по настройке протокола обнаружения Cisco, Cisco IOS Release 15M&T - Cisco Discovery Protocol Version 2 [Поддержка]". Cisco . Получено 2020-01-09 .
7. Popeskic, Valter (2011-12-16). "Атаки CDP – атака на протокол обнаружения Cisco". Как работает Интернет . Получено 2019-06-30 .
8. CCNA security. Версия 2, буклет курса . Cisco Systems, Inc., Программа сетевой академии Cisco. Индианаполис, Индиана, США. 2015-11-13. ISBN 9781587133510. OCLC  949366471.{{cite book}}: CS1 maint: местоположение отсутствует издатель ( ссылка ) CS1 maint: другие ( ссылка )
9. Баррозу, Дэвид (2020-01-03), GitHub - tomac/yersinia: Фреймворк для атак уровня 2 , получено 2020-01-09