CiscoIOS EIGRP通告拒绝服务攻击漏洞

　　受影响系统： Cisco IOS 12.2

　　Cisco IOS 12.1

　　Cisco IOS 12.0

　　Cisco IOS 11.3

　　安全系统： 无

　　漏洞报告人： FX

　　漏洞描述： BUGTRAQ ID: 6443

　　Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系统。

　　使用伪造的EIGRP邻居通告可以使路由器在网络段引起ARP风暴，远程攻击者可以利用这个漏洞对路由器进行拒绝服务攻击，消耗所有带宽。

　　EIGRP使用自动发现邻居路由器方式进行路由发现。EIGRP路由器通过在使能接口上多播而宣布其存在。如果两个路由器彼此发现对方，它们将交换当前拓扑信息，双方也需要获得对方路由器MAC地址。

　　当使用随机源IP地址生成EIGRP邻居通告，并对路由器或者整个网络进行'淹没'攻击，所有接收的CISCO路由器会尝试联系发送者，发送者IP地址必须在目前路由器配置中的子网中。

　　CISCO IOS存在一个漏洞，在联系发送者时会持续请求发送MAC地址，这个过程没有超时操作，除非EIGRP邻居保持时间过期，这个值又发送端提供并最大可以超过18小时。

　　多个使用不存在的源IP地址邻居通告，可以导致路由器消耗大量CPU利用率和消耗大量带宽，造成拒绝服务攻击。

　　使用IP多播和EIGRP通告将会有更好的攻击效果。CISCO IOS低于12.0的版本可接收以单播方式的EIGRP邻居通告，导致存在通过Internet进行攻击的可能。

　　测试方法： 无

　　解决方法： 临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　* 实现使用MD5 HASH进行EIGRP验证。

　　http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18

　　* 如果在单播方式使用EIGRP，可以使用切当的ACL阻挡来自非法主机的通告，下面的例子EIGRP邻居IP地址为10.0.0.2，本地路由器地址为10.0.0.1：

　　Router#config t

　　Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1

　　Router(config)#access-list 111 deny eigrp any host 10.0.0.1

　　厂商补丁：

　　Cisco

　　-----

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://www.cisco.com/warp/public/707/advisory.html