在最近的一次安全警報(bào)中，CiscoSystems警告說(shuō)CiscoIOS易于受到一種惡意攻擊(請(qǐng)參考Cisco關(guān)于危急IOS漏洞的警告)。通過(guò)利用這個(gè)漏洞，黑客能夠在思科設(shè)備上執(zhí)行惡意代碼或者發(fā)動(dòng)一次DDOS攻擊(拒絕服務(wù)攻擊)。由于互聯(lián)網(wǎng)上的路由器至少有70%的路由器是思科路由器，這個(gè)漏洞格外引人關(guān)注。為了保護(hù)你的路由器的基礎(chǔ)結(jié)構(gòu)，你能夠做些什么呢？本文將討論這個(gè)問(wèn)題。

哪些產(chǎn)品受到影響？

只有擁有統(tǒng)一通信管理器(CiscoUnifiedCommunicationsManager)和支持語(yǔ)音服務(wù)的路由器會(huì)受到影響。如果你的路由器符合這兩個(gè)條件之一，你就應(yīng)該采取行動(dòng)了。如果你不能確定你的路由器是否擁有語(yǔ)音服務(wù)(會(huì)話初始化協(xié)議(SIP))，就應(yīng)該檢查一下。

哪些特定IOS的版本會(huì)受到影響？

只有某些版本的IOS12.3和所有的IOS12.4受到這個(gè)漏洞的影響，并且只有你激活SIP協(xié)議時(shí)才會(huì)發(fā)生。要查看你正在運(yùn)行的IOS版本，只需要鍵入showversion命令。

我如何知道我是否啟用了IOS協(xié)議？

注意下面一點(diǎn)是非常重要的：即使SIP協(xié)議沒(méi)有進(jìn)行特別的配置，CiscoIOS也易受到攻擊。這時(shí)所需要的只是路由器正在監(jiān)聽(tīng)SIP通信。

執(zhí)行如下的三個(gè)命令就可以查看你的路由器是否正在監(jiān)聽(tīng)進(jìn)入的SIP請(qǐng)求：

以下是引用片段：showipsocketsshowudpshowtcpbriefall

注意：“showipsockets”命令在較新的IOS版本上可能無(wú)法運(yùn)行。”showtcpbriefall”命令可能不會(huì)返回任何輸出。下面就是筆者的路由器的一個(gè)輸出示例：

以下是引用片段：Router#showipsockets^%Invalidinputdetectedat’^'marker.Router#showudpProtoRemotePortLocalPortInOutStatTTYOutputIF17–listen—-any–68001017–listen—-any–288700110170.0.0.00192.168.1.100670022110Router#showtcpbriefallRouter#

你正在尋找的是下面這些協(xié)議和端口號(hào)的任何進(jìn)入的通路(監(jiān)聽(tīng)者)：TCP5060，5061，1720，11720andUDP5060，5061，2427，2517，16384–32767

你從筆者的路由器的輸出結(jié)果中可以看出，筆者并沒(méi)有任何這樣的端口。如果你有一個(gè)這樣的通路(監(jiān)聽(tīng)者)，你的輸出結(jié)果將看起來(lái)會(huì)是如下的樣子：

以下是引用片段：Router#showipsocketsProtoRemotePortLocalPortInOutStatTTYOutputIF170.0.0.00–any–5060002110Router#showtcpbriefallTCBLocalAddressForeignAddress(state)835F9624*.5060*.*LISTEN

請(qǐng)注意這兩種情況中的端口號(hào)5060。

【編輯推薦】

1. IOS觸發(fā)cisco交換機(jī)故障恢復(fù)方案匯總