- A+
思科路由器配置端口帶寬限制
網(wǎng)絡(luò)傳輸速率變慢的主要原因,往往是某些用戶對網(wǎng)絡(luò)的濫用。當(dāng)使用MRTG等流量監(jiān)控軟件檢測到流量來源于某個端口時,可以在核心交換機(jī)、匯聚交換 機(jī),甚至接入交換機(jī)上,對相應(yīng)的端口作必要的處理,限制其傳輸帶寬,從而限制每個用戶所允許的最大流量,以便使其他網(wǎng)絡(luò)用戶能夠Oracle_shujuku/index.html' target='_blank'>恢復(fù)正常的網(wǎng)絡(luò)應(yīng)用服務(wù)。
第一步:進(jìn)入全配置模式。
Switch# config terminal
第二步:指定欲配置的接口。
Switch(config)# interface interface-id
第三步:配置端口帶寬控制。其中,input/output表明在輸入和輸出方向應(yīng)用該帶寬限制,通常情況下,應(yīng)當(dāng)進(jìn) 行雙向限制。access-group acl-index用于定義使用該帶寬限制的訪問列表。bps用于定義限制帶寬,以bps為單位,并采用8 kbps的增量。burst-normal用于定義所允許的普通突發(fā)速率,burst-max用于定義所允許的最大突發(fā)速率。conform- action conform-action用于指定在規(guī)定最大帶寬時所執(zhí)行的操作,通常為transmit,即允許發(fā)送。exceed-action exceed-action則用于指定在規(guī)定最大帶寬時所執(zhí)行的操作,通常為drop,即丟棄。
Switch(config-if)# rate-limit {input | output} [access-group acl-index] bps burst-normal burst-max conform-action conform-action exceed-action exceed-action
第四步:返回特權(quán)配置模式。
Switch(config-if)# end
第五步:顯示并校驗該接口當(dāng)前的配置。
Switch# show interface interface-id
第六步:保存帶寬限制配置。
Switch# copy running-config startup-config
例如,若欲限制GigabitEthernet4/4帶寬為128 kbps,當(dāng)連接的普通突發(fā)速率、最大突發(fā)在8 kBytes(即64 kbps)9 kBytes(即72 kbps)范圍內(nèi)時,所執(zhí)行的操作是transmit(傳輸即發(fā)送);當(dāng)超出該范圍時,則相應(yīng)的操作就是drop.其中,128 000用于限制最大帶寬,8 000和9 000則用于限制突發(fā)連接,保證不因個別用戶的大量傳輸而使整個鏈路性能大幅度下降。限制輸入和輸出速率后,該端口配置如下:
interface GigabitEthernet4/4
no switchport
description tushuguan
ip address 211.82.220.9 255.255.255.248
ip access-group 120 in
ip access-group 120 out [nextpage]
rate-limit output access-group 102 128000 8000 9000 conform-action transmit exceed-action drop
rate-limit input access-group 102 128000 8000 9000 conform-action transmit exceed-action drop!
IP訪問列表只需設(shè)置應(yīng)用帶寬限制的IP地址范圍(192.168.0.0 ~ 192.168.255.255)即可,內(nèi)容如下:
access-list 102 permit ip 192.168.0.0 0.0.255.255 any
【注意】 在啟用寬帶限制之前,必須先在全局模式下執(zhí)行"ip cef"命令,啟用交換機(jī)的快速轉(zhuǎn)發(fā)技術(shù)。
安全公司FireEye前兩天剛剛發(fā)布報告稱在四個國家的14臺思科路由器上發(fā)現(xiàn)SYNful Knock后門程序,現(xiàn)在又發(fā)現(xiàn)79臺路由器存在相同后門。
SYNful Knock 后門程序
安全研究人員為進(jìn)一步調(diào)查受感染設(shè)備而對所有IPv4地址進(jìn)行了掃描,這個被稱為SYNful Knock的后門應(yīng)用程序,在收到一串特別的、不合標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包硬編碼密碼之后,后門被激活。通過向每一個網(wǎng)絡(luò)地址發(fā)送無序TCP數(shù)據(jù)包而非密碼便可監(jiān)視應(yīng)答,因此研究者發(fā)現(xiàn)了那些被感染的后門。
本周二,當(dāng)FireEye第一次曝出SYNful Knock的活動時,震驚了整個安全世界。植入的后門完全與合法思科路由器映像大小相同,同時在每次路由器重啟時都會加載。它可支持高達(dá)100個模塊,攻擊者能夠根據(jù)特定目標(biāo)加載不同功能的模塊。
在首次披露中,F(xiàn)ireEye發(fā)現(xiàn)它在印度、墨西哥、菲律賓和烏克蘭的服務(wù)器上出現(xiàn),共計14臺。這一驚人發(fā)現(xiàn)說明了一直以來偏向理論化的攻擊形式正逐步被積極運用。
而最新的研究結(jié)果顯示受害范圍其實遠(yuǎn)遠(yuǎn)不止四國,還包括美國、加拿大、英國、德國以及中國在內(nèi)的19個國家。
研究人員寫道:
這一后門可通過指紋識別,我們便使用修改過的ZMap掃描工具發(fā)送特制的TCP SYN數(shù)據(jù)包,掃描了所有公共IPv4地址。在9月15日掃描的4個公共IPv4地址空間,發(fā)現(xiàn)了79臺主機(jī)存在與SYNful Knock后門相符的行為。這些路由器分布于19個國家的一系列機(jī)構(gòu)中。
值得注意的是,相比較IP地址的分配,非洲和亞洲植入后門的路由器數(shù)量驚人。而25臺受影響的美國路由器,都屬于同一個東海岸的網(wǎng)絡(luò)服務(wù)器供應(yīng)商。而受影響的德國和黎巴嫩路由器供應(yīng)商,同時也向非洲提供服務(wù)。
如何發(fā)現(xiàn)SYNful Knock后門
上圖便概括了本次研究結(jié)果;FireEye研究人員在博客中詳細(xì)解釋了如何檢測SNYful Knock后門。
研究人員使用網(wǎng)絡(luò)掃描工具Zmap進(jìn)行了四次掃描。配置之后,便開始向每個地址發(fā)送設(shè)置為0xC123D和0的數(shù)據(jù)包,等待哪些響應(yīng)序列號設(shè)置是0,緊急標(biāo)志并沒有設(shè)置,緊急指針設(shè)置為0x0001。
“我們沒有用一個ACK數(shù)據(jù)包進(jìn)行響應(yīng),而是發(fā)送RST。這并非利用漏洞進(jìn)行登錄或者完成握手。這只是為了讓我們找出受感染的路由器。因為沒有植入后門的路由器并未設(shè)置緊急指針,并且只有1/232的概率選擇0作為序列號。”
目前可以確定的是SYNful Knock是一個經(jīng)過專業(yè)開發(fā)并且功能完備的后門,可以影響的設(shè)備遠(yuǎn)超F(xiàn)ireEye此前的聲稱的數(shù)量。盡管受影響的設(shè)備中肯定有用于科學(xué)研究的蜜罐,用于幫助研究者尋找真正的幕后黑手以及發(fā)現(xiàn)后門是如何在路由器背后進(jìn)行運作的。
但是79臺設(shè)備都是誘餌的話,則似乎不太可能。目前FireEye沒有對這種可能性做出回應(yīng)。
目前尚沒有證據(jù)顯示SYNful Knock后門利用了思科路由器中任何漏洞,F(xiàn)ireEye高管表示這個后門背后的攻擊者——可能是有政府背景——似乎是利用了廠商設(shè)置的路由器默認(rèn)密碼或者某種其他已知的攻擊方式。
研究者說,如果其他制造商的網(wǎng)絡(luò)設(shè)備感染了相似后門,一點都不奇怪。盡管截至目前,沒有證據(jù)表明來自其他制造商的設(shè)備可以感染這一后門,但是隨著研究人員掃描工作的持續(xù)進(jìn)行,獲得支持這一理論的數(shù)據(jù)也只是時間問題。
解決方法
如果確定設(shè)備受到感染,最有效的緩解方法就是使用思科的干凈下載重新映像路由器。確定新映像的哈希值匹配,然后加固設(shè)備防止未來的攻擊。
一定要更新設(shè)置、不要采用默認(rèn)的,在確定路由器沒有受感染之后,也要關(guān)注其他網(wǎng)絡(luò)的安全。如果路由器沒有默認(rèn)憑證,那么感染便是已經(jīng)發(fā)生了,下一步需要做的便是影響評估。
cisco路由器配置出錯解決辦法
網(wǎng)管可能遇到過這樣的情況,在一個公司或機(jī)構(gòu)里有個多名網(wǎng)管,如果大家都對路由器進(jìn)行配置的話,就有可能造成配置的丟失,或不能完全執(zhí)行命令,這樣就會造成網(wǎng)絡(luò)的不穩(wěn)定或是直接斷網(wǎng),如何避免這樣的問題出現(xiàn)呢?
一般思科路由器特意加入了配置鎖功能,它可以對配置的改變進(jìn)行專門的控制,包含了訪問會話鎖定功能。
一、命令內(nèi)容
Router(config)# configuration mode exclusive {auto manual} [expire seconds] [lock-show] [interleave] [terminate] [config_wait seconds] [retry_wait seconds]
二、設(shè)置配置鎖
1、激活配置鎖功能。
Router(config)# configuration mode exclusive auto
2、手動
關(guān)鍵字采用手動,在每次進(jìn)入全局配置模式都啟用配置鎖功能,使用以下命令加入關(guān)鍵字:
Router# configure terminal lock
Enter configuration commands, one per line. End with CNTL/Z
Router(config)#
3、自動
關(guān)鍵字采用自動,這使得在使用終端配置路由器的時間,將自動鎖定相關(guān)的配置。
三、顯示命令
這里會有人要問,我們?nèi)绾沃朗欠裼腥嗽诟膭优渲媚兀?dāng)然是使用顯示配置命令,在有鎖和同鎖的情況下,結(jié)果是不同的。
1、有人配置輸出結(jié)果:
Router# show configuration lock
Parser Configure Lock
Owner PID : 3
User : unknown
TTY : 0
Type : EXCLUSIVE
State : LOCKED
Class : EXPOSED
Count : 1
Pending Requests : 0
User debug info : configure terminal
Session idle state: TRUE
No of exec cmds getting executed : 0
No of exec cmds blocked : 0
Config wait for show completion : FALSE
Remote ip address : Unknown
Lock active time (in Sec) : 6
Lock Expiration timer (in Sec): 593
Router(config)#
2、無人配置輸出結(jié)果:
Router(config)# show configuration lock
Parser Configure Lock
Owner PID: 10
User : User3
TTY : 3
Type : EXCLUSIVE
State: LOCKED
Class: Exposed
Count: 0
Pending Requests : 0
User debug info : 0思科路由器靜態(tài)路由
命令:ip router <目的網(wǎng)段> <目的網(wǎng)段掩碼><下一跳>
以上這個命令就是配置靜態(tài)路由的通用命令,目的網(wǎng)段和目的網(wǎng)段掩碼子陽相信大家都不難理解,目的網(wǎng)段是指你這臺計算機(jī)的這個網(wǎng)段所要到達(dá)的對方的網(wǎng)段;目的網(wǎng)段掩碼就是該目的網(wǎng)段的子網(wǎng)掩碼;而這個下一跳,卻怎么樣理解呢?
其實這個下一跳的根本含義就是下一臺路由器的入口。一般兩臺路由器之間相接,比如說A路由器和B路由器相接,信息首先通過的是A路由器,那么我們就在A路由器中設(shè)置靜態(tài)路由的時候把這個下一跳的地址設(shè)置為B路由器的入口。這樣說應(yīng)該比較容易理解了。
網(wǎng)絡(luò)拓?fù)洌?/p>
我們的目的是,要PC0 ping通 PC1,基本思路是設(shè)定好所有設(shè)備的IP地址,然后再在路由器上配置靜態(tài)路由。記得路由與路由之間設(shè)置時鐘頻率(兩臺路由器之間只設(shè)置一個時鐘頻率)
第一步:設(shè)置好PC機(jī)的IP地址。
拓?fù)渚幹罚?br />
PC0:192.168.1.1 gateway:192.168.1.2
PC1:192.168.4.1 gateway:192.168.4.2
第二步:配置三臺路由器:
Router0:
Router 0 >en
Router 0 #conf t
Router 0 (config)#int f0/0
Router 0 (config-if)#ip address 192.168.1.2 255.255.255.0
Router 0 (config-if)#no shut
Router 0 (config-if)#int s0/0/0
Router 0 (config-if)#ip address 192.168.2.1 255.255.255.0
Router 0 (config-if)#clock rate 64000設(shè)置時鐘頻率
Router 0 (config-if)#no shut
Router 0 (config-if)#exit
Router 0 (config)#
Router1:
Router>en
Router#conf t
Router(config)#hostname Router1把路由器的名字設(shè)置為Router1
Router1(config)#int s0/0/0
Router1(config-if)#ip address 192.168.2.2 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#int s0/0/1
Router1(config-if)#ip address 192.168.3.1 255.255.255.0
Router1(config-if)#clock rate 64000
Router1(config-if)#no shut
Router1(config-if)#exit
Router1(config)#
Router2:
Router2>en
Router2#conf t
Router2(config)#int s0/0/1
Router2(config-if)#ip address 192.168.3.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#int f0/0
Router2(config-if)#ip address 192.168.4.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#exit
Router2(config)#
第三步:配置靜態(tài)路由:
接下來就要用到我們上面的命令了:
ip router <目的網(wǎng)段> <目的網(wǎng)段掩碼><下一跳>
Router0的設(shè)置:
Router0(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2
Router0(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
目的網(wǎng)段目的網(wǎng)段掩碼下一跳(下一個路由器的入口)
Router1的設(shè)置:
Router1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
Router1(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2
注意這里是屬于中心路由器,所以要設(shè)置兩條靜態(tài)路由,分別指向兩邊的網(wǎng)段。
Router2的設(shè)置:
Router2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
Router2(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
現(xiàn)在把三臺路由器的靜態(tài)路由都設(shè)置好了,就應(yīng)該是通了的。
現(xiàn)在從PC0 ping PC1 通了,那么從PC1 ping PC0 呢?
也通了,現(xiàn)在就達(dá)到了我們的目的。
思科路由器站點到站點VPN 點擊上方"網(wǎng)絡(luò)工程師阿龍"關(guān)注我們
應(yīng)用情況,公司總部分總互連,都有公網(wǎng)IP
【配置薦讀】
R1路由器上連通性配置
R1(config)#interface e0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface e1
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R2路由器上連通性配置
R2(config)#interface e0
R2(config-if)#ip address 1.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#interface e1
R2(config-if)#ip address 2.2.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
R1路由器IpSec配置
R1(config)#crypto isakmp enable (optional)默認(rèn)啟用
R1路由器IpSec isakmp 配置(階段一的策略)
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-shared
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1路由器Pre-Share認(rèn)證配置
R1(config)#crypto isakmp key cisco address 10.1.1.2
R1路由器IpSec變換集配置(階段二的策略)
R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R1 (cfg-crypto-trans)#mode tunnel
R1路由器加密圖的配置
R1(config)#crypto map cisco10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address 101
R1路由器定義感興趣流量
R1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1路由器加密圖綁定到接口
R1(config)#interface e0
R1(config-if)#crypto map cisco
4、R2路由器IpSec配置
R2(config)#crypto isakmp enable (optional)默認(rèn)啟用
R2路由器IpSec isakmp 配置(階段一的策略)
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#group 2
R2路由器Pre-Share認(rèn)證配置
R2(config)#crypto isakmp key cisco address 10.1.1.1
R2路由器IpSec變換集配置(階段二的策略)
R2(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#mode tunnel
R2路由器加密圖的配置
R2(config)#crypto map cisco 10 ipsec-isakmp
R2(config-crypto-map)#set peer 10.1.1.1
R2(config-crypto-map)#set transform-set cisco
R2(config-crypto-map)#match address 101
R2路由器定義感興趣流量
R2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
R2路由器加密圖綁定到接口
R2(config)#interface e0
R2(config-if)#crypto map cisco
======================Cisco路由器配置入門知識(基礎(chǔ))
Cisco路由配置基礎(chǔ)
剛剛接觸cisco路由配置,下面是學(xué)習(xí)的筆記,感覺命令還是多敲才能熟悉
一、 所處狀態(tài)各類
router>
用戶處于用戶命令狀態(tài),可以查看網(wǎng)絡(luò)和主機(jī)
router#
用戶處于特權(quán)模式,可以查看狀態(tài),還可以看到和更改路由器的設(shè)置內(nèi)容
router(config)#
全局配置狀態(tài),可以設(shè)置路由的全局參數(shù)
router(config-if)#;router(config-line)#;router(config-router)#.....
處于局部配置狀態(tài),可以設(shè)置路由的局部參數(shù)
二、配置端口ip
命令
en
config t //全局模式
interface f0/0
ip address 192.168.1.1 255.255.255.0 //設(shè)置端口ip
no shu //生效
exit
interface f0/1
ip address 192.168.10.1 255.255.255.0
no shu
exit
end
disable
三、配置靜態(tài)路由
命令
en
config t //全局模式
ip route 192.168.100.0 255.255.255.0 192.168.10.2 //到192.168.100.0/24通過192.168.10.2接口
end
show ip route //可以看到前面標(biāo)明S,即為靜態(tài)路由
四、配置動態(tài)路由(RIP)
命令
en
config t //全局模式
no route rip //禁止rip協(xié)議
route rip
network 192.168.1.0 //network參數(shù)為路由的兩個端口對應(yīng)的網(wǎng)絡(luò)地址
network 192.168.10.0
exit
end
disable
五、配置DHCP
命令
en
config t //全局模式
ip dhcp excluded-address 192.168.1.1 //需要排除的ip地址
ip dhcp pool gr-dhcp-pool //ip地址池名
default-server 192.168.1.1 //指定dhcp服務(wù)器
network 192.168.1.0 255.255.255.0 //配置網(wǎng)絡(luò)
dns-server 61.177.7.1 //配置dns服務(wù)器
exit
end
disable
可以通過 ip helper-address指定 DHCP中繼代理
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip helper-address 192.168.10.2 \\配置DHCP中繼代理,DHCP
六、配置NAT
命令
en
config t //全局模式
interface f0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside //內(nèi)部端口
no shu
exit
interface f0/1
ip address 192.168.10.1 255.255.255.0
ip nat outside //外部端口
no shu
exit
access-list 1 permit any //設(shè)置一個可訪問列表
ip nat pool gr-nat-pool 192.168.10.3 192.168.10.254 netmask 255.255.255.0 //設(shè)置分配池
ip nat inside resource list 1 pool gr-nat-pool overload
show ip nat traslations
clear ip nat traslation *
七、其它
sh running-config //顯示當(dāng)前運行配置
sh startup-config //顯示開機(jī)配置
sh ip route //顯示路由
sh nat traslations //顯示nat當(dāng)前情況
微思網(wǎng)址:http://www.xmws.cn
騰訊微博:http://t.qq.com/xmwisdom
新浪微博:http://weibo.com/xmwisdom
【思科技術(shù)】Cisco路由器SSH配置
1、 給路由器配置一個IP地址
interface GigabitEthernet 0/0
ip address x.x.x.x 255.255.255.0
2、 配置路由器的名字(默認(rèn)名字一定要改變)
hostname R1
3、 配置路由器的域名。路由器的域名一定要配置,隨便配置一個就可以了
Ip domain-name test.com
4、 產(chǎn)生非對稱密鑰,密鑰的名字是:R1.test.com。然后詢問密鑰的長度,這里輸入1024。
稍后路由器提示“SSH 1.99 has been enabled”,表示路由器可以支持SSH了。聯(lián)合網(wǎng)訊官方微信SYUNI-1024
crypto key generate rsa
5、 配置VTY用戶使用本地驗證,驗證的方法是SSH
username cisco,123 password cisco,123
line vty 0 4
login local
transport input ssh
6、 優(yōu)化調(diào)整SSH
ip ssh timeout 15 SSH窗口的超時時間,此時提示輸入密碼,如果用戶遲疑15秒鐘,然后再輸入,則認(rèn)為已經(jīng)超時,需刷新后重新輸入
ip ssh authentication-retries 3 每次SSH連接允許嘗試的次數(shù),三次登錄失敗后,需再次連接SSH聯(lián)合網(wǎng)訊官方微信SYUNI-1024
-THE END -
有人用微信聊天,有人卻在微信中每天學(xué)習(xí),自我成長。我們現(xiàn)在的很多時間都是碎片的,你可以用它來發(fā)呆,也可以用它來玩游戲,也可以關(guān)注一些優(yōu)質(zhì)的微信公眾號(聯(lián)合網(wǎng)訊官方微信SYUNI-1024),每天成長一點點。
※版權(quán)與免責(zé)聲明:
本平臺所發(fā)布、轉(zhuǎn)載、摘編的文章部分來源于互聯(lián)網(wǎng),轉(zhuǎn)載目的在于傳遞更多信息, 如作品內(nèi)容、版權(quán)和其它問題侵害到您的權(quán)益,請與本平臺聯(lián)系, 聯(lián)系方式:QQ39367144
請您多多關(guān)注聯(lián)合網(wǎng)訊官方微信每天發(fā)送的文章,只要發(fā)現(xiàn)以【網(wǎng)訊活動公告】為標(biāo)題的文章,那恭喜您了,快按要求操作100%送您禮品每期禮品內(nèi)容不定,請多留意聯(lián)合網(wǎng)訊官方微信SYUNI-1024
思科路由器設(shè)置IS-IS具體步驟
IS-IS很多熟悉思科路由器的朋友都知道,但是對于新手來說,就不知道思科路由器設(shè)置IS-IS該怎么處理了,本文將從實驗的角度來講解思科路由器設(shè)置IS-IS的具體步驟。以下是思科路由器使用IS-IS路由IP的基本設(shè)置步驟:
新型思科路由器后門分析與防護(hù)
思科路由器在國內(nèi)使用量不小,而且時常作為核心部件連接企業(yè)網(wǎng)絡(luò)。但最近出現(xiàn)的一個新型思科路由器后門,已經(jīng)嚴(yán)重威脅到了企業(yè)安全。這次思科路由器"SYNful Knock"后門事件引發(fā)業(yè)界恐慌,紛紛開始著手應(yīng)急預(yù)案。
影響范圍涉及4個國家及常見型號
通常來說,思科路由器的植入后門以前經(jīng)常被認(rèn)為是理論可行或較難實現(xiàn),但近日有國外安全公司FireEye發(fā)現(xiàn)這種針對路由器的植入式后門正悄然流行,涉及Cisco 1841/Cisco 2811/Cisco 3825路由器及其他常見型號。目前發(fā)現(xiàn)在烏克蘭、菲律賓、墨西哥和印度這4個國家中正有至少14個類似的植入后門在傳播。
要知道,大部分公司的核心網(wǎng)絡(luò)設(shè)備使用的都是思科路由器。如果一個企業(yè)的核心網(wǎng)關(guān)設(shè)備被黑,不僅可以控制企業(yè)網(wǎng)絡(luò)出入口,更可以對過往的信息進(jìn)行修改及欺騙,這危害就驗證了。
通過弱口令登錄替換思科路由器固件
這個后門是通過修改思科路由器的固件植入惡意代碼實現(xiàn)的,類似病毒感染正常文件。攻擊者需要通過其他途徑將這個后門固件上傳或者加載到目標(biāo)路由器上。目前看攻擊者并沒有利用任何的0day漏洞來上傳固件,而是利用路由器的缺省口令或者弱口令來登錄路由器,然后上傳后門固件,替換原有正常固件。只要路由器管理員不升級固件,攻擊者就可以持久獲得對路由器的長期控制。
放進(jìn)去的后門類似病毒感染正常文件,攻擊者需要通過各種途徑,將這個后門上傳或者加載到目標(biāo)路由器上,而且它還采用了先進(jìn)的技術(shù),可以非常方便的隨時加入新的后門功能。這種做法與大家電腦上的僵尸木馬非常相似,但用在路由器后門中還是比較少見。這個后門被命名為" SYNful Knock",可能是因為其后門的網(wǎng)絡(luò)控制功能中有個特殊的標(biāo)記。
將僵尸木馬的手法移植到路由器上
這個后門植入了一個萬能后門口令,攻擊者可以利用這個后門口令通過telnet或者控制臺登錄路由器。它還采用了動態(tài)加載模塊的技術(shù),可以非常方便的隨時加載新的惡意功能模塊,在Windows/Unix系統(tǒng)下的僵尸木馬網(wǎng)絡(luò)中這已是很常見的技術(shù)了,但用在路由器后門中還是比較少見。每個模塊都可以通過HTTP協(xié)議來更新、加載和刪除。
這個后門被命名為“ SYNful Knock”,可能是因為后門的網(wǎng)絡(luò)控制功能(CnC)會通過一個特殊的TCP SYN包來觸發(fā)。
思科路由器植入后門的技術(shù)細(xì)節(jié)
(由于尚未獲得真實樣本,本章節(jié)技術(shù)細(xì)節(jié)均來自FireEye公司的相關(guān)技術(shù)報告,僅供參考)
這個后門通過篡改一個正常的Cisco IOS映像文件來植入惡意功能,主要的修改操作包括:
修改所有translation lookaside buffer (TLB)的屬性為可讀可寫(RW)
正常IOS映像文件中,有些TLB的屬性是只讀的(RO),而此后門會將所有TLB的屬性都設(shè)置為可讀可寫(RW),這可能是為了實現(xiàn)通過Hook IOS函數(shù)來加載模塊。如果TLB屬性不是可讀可寫(RW),那對緩存內(nèi)存頁的修改就不能被同步到內(nèi)存中原始內(nèi)存頁中。可以通過“ show platform”命令來檢查TLB的屬性情況,如果發(fā)現(xiàn)全部TLB屬性都被設(shè)置為RW,那可能意味著系統(tǒng)被植入了惡意后門。
據(jù)信是修改了一個與進(jìn)程調(diào)度相關(guān)的函數(shù)入口,將其指向一段惡意代碼,這段代碼完成惡意軟件的初始化后,再執(zhí)行原有正常函數(shù)功能。選擇該函數(shù)是因為其在每次系統(tǒng)重啟時都會被調(diào)用,這樣攻擊者就可以持續(xù)獲得控制權(quán)。
用惡意代碼重寫一些正常的協(xié)議處理函數(shù)
為了防止映像文件大小發(fā)生變化,此后門會直接用惡意代碼替換原有的一些正常函數(shù)的代碼。
用惡意代碼需要使用的字符串重寫正常函數(shù)用到的字符串
同樣為了防止大小變化,攻擊者還會將CnC通信時用到的一些字符串直接替換正常函數(shù)使用的字符串。這樣導(dǎo)致在執(zhí)行一些正常IOS命令時,就可能返回一些如下的異常結(jié)果。
后門口令
攻擊者在后門映像中植入了一個萬能口令,保證攻擊者可以繞過正常口令限制隨時登錄系統(tǒng)。這個后門口令可以通過控制臺、Telnet、enable(提升到管理員時)時輸入,一旦匹配則賦予攻擊者管理權(quán)限,否則就會繼續(xù)正常的口令檢查過程。目前看SSH和HTTPS登錄時沒有設(shè)置后門口令。
網(wǎng)絡(luò)命令和控制(CnC)
此后門還使用了模塊化方式來完成命令控制,可以隨時將惡意功能加載到路由器中執(zhí)行,這在路由器后門中還是比較少見的。這大大增強了惡意軟件的可擴(kuò)展性。一旦路由器重啟,所有加載的惡意模塊都會消失,攻擊者需要重新上傳惡意模塊。
攻擊者通過發(fā)送一些特殊的TCP報文來開啟CnC控制,即使路由器管理員設(shè)置了一些過濾策略,后門仍然會接收并處理這些報文。
CnC命令格式
后門支持5種控制命令,包括顯示模塊狀態(tài)、為模塊加載分配內(nèi)存、加載模塊、激活模塊、卸載模塊,最多可加載100個模塊。
防護(hù)方式
常見的國外廠商防護(hù)方式
既然有漏洞,那就打補丁,升級!但在實際的操作環(huán)境中,執(zhí)行會遇到挑戰(zhàn):
1. 安全需求弱的小客戶,難度特別大
2. 安全需求強的小客戶,可執(zhí)行,但是整改周期特別長
3. 安全需求弱的大客戶,難度特別大,因為要涉及到整體業(yè)務(wù)鏈路停機(jī)
4. 安全需求強的大客戶,可執(zhí)行,但是整改周期特別長,牽涉面廣
綠盟科技推薦的防護(hù)方式
綠盟科技推薦用1個基準(zhǔn)3個階段來進(jìn)行落地防護(hù)。1個基準(zhǔn),把風(fēng)險面轉(zhuǎn)化為風(fēng)險點;3個階段,分為設(shè)計及實施、試運行及驗收、長期運維。各部分內(nèi)容在項目實施過程中細(xì)節(jié)較多,下面僅提要說明。
設(shè)計、實施
1. 統(tǒng)計系統(tǒng)范圍內(nèi)cisco設(shè)備的數(shù)量以及需要納入統(tǒng)一策略管理的其他廠商的設(shè)備集合,實現(xiàn)風(fēng)險的識別
2. 設(shè)計時采用區(qū)域隔離:管理域與生產(chǎn)域嚴(yán)格隔離(VLAN技術(shù)和防火墻),實現(xiàn)風(fēng)險的控制
3. 管理域?qū)崿F(xiàn)堡壘機(jī)統(tǒng)一納管,并且在堡壘機(jī)中設(shè)定相關(guān)口令策略,實現(xiàn)風(fēng)險的轉(zhuǎn)移
4. 設(shè)計選型時,在穩(wěn)定的基礎(chǔ)上使用較為新的IOS固件并做MD5校驗,實現(xiàn)風(fēng)險的削弱
5. 設(shè)計網(wǎng)絡(luò)入侵檢測及防護(hù)設(shè)備(NIDS/NIPS)對此事進(jìn)行檢測,并且把對應(yīng)異常網(wǎng)絡(luò)事件進(jìn)行每日監(jiān)控,實現(xiàn)風(fēng)險的監(jiān)控
a) 從整個SYNful Knock事件過程中,有三個重要階段事件:弱口令猜測,后門外鏈,后門命令控制。NIPS不僅僅能夠針對每一個階段單獨防護(hù),同時能夠建立起逐層防護(hù)的機(jī)制;
b) 首先是弱口令,NIPS中弱口令規(guī)則能夠進(jìn)行Telnet弱口令事件告警,提示管理員關(guān)注賬號弱口令問題,同時也能夠阻斷暴力猜測行為;
c) 其次后門外鏈,通過檢測TCP會話建立過程中特征,阻斷后門的通信連接;
d) 最后后門命令控制,需要使用CnC或者TCP方式進(jìn)行命令控制,NIPS在檢測流量時,對控制命令進(jìn)行檢測,達(dá)到阻斷控制的效果。即便是植入了后門,阻斷命令發(fā)送無法對其命令控制
6. 選型考慮國產(chǎn)設(shè)備,實現(xiàn)風(fēng)險的規(guī)避
試運行、驗收
1. 做基礎(chǔ)安全評估(漏洞掃描、基線核查、內(nèi)網(wǎng)滲透測試)
2. 重新規(guī)整所有用戶口令;
3. 測試入侵檢測日報的可用性;
等等……
長期運維
1. 新交維的系統(tǒng):按設(shè)計、實施規(guī)范定期作為維護(hù);
2. 老系統(tǒng):
2.1 快速處理: 搭建TFTP服務(wù)器 強制備份所有線上IOS鏡像,并且對已經(jīng)備份的IOS進(jìn)行與官方下載IOS鏡像進(jìn)行md5校驗;
md5校驗成功的處理方式:參照 2.2
md5校驗失敗的處理方式:
本著安全原則,清除IOS已經(jīng)不保險了,建議采用替換的方式把有問題設(shè)備替換下來;
有問題的設(shè)備返廠檢測吧,當(dāng)然也可以考慮將其做成蜜罐;
建議做一次網(wǎng)絡(luò)區(qū)域內(nèi)的大排查,不然很危險哦;
2.2 按新系統(tǒng)設(shè)計標(biāo)準(zhǔn),對管理域進(jìn)行整改。
3. 分析 每日入侵檢測報告(木馬)
小結(jié)
本文主要技術(shù)細(xì)節(jié)部分來自于FireEye公司的一篇技術(shù)報告,其大致的過程就是這樣的
1. 尋找能登錄的cisco 設(shè)備(通過暴力破解、社工、弱口令等方式),能進(jìn)去是前提;
2. 傳一個帶馬的IOS上去;找機(jī)會重新加載新的IOS,同時痕跡清理;
3. 然后加固路由器,防止被其他人拿走這個“成果”;
4. 開始植入木馬等惡意程序,然后實施攻擊動作,比如JS劫持等
從報告披露的信息來看,針對Cisco路由器的后門映像植入技術(shù)已經(jīng)逐漸從理論走向?qū)嵱没箝T功能從簡單的萬能口令已經(jīng)擴(kuò)展到模塊化遠(yuǎn)程加載任意惡意代碼。由于路由器位于網(wǎng)絡(luò)的核心出入口位置,一旦攻擊者可以在路由器中執(zhí)行代碼,意味著攻擊者可以對經(jīng)過路由器的網(wǎng)絡(luò)流量進(jìn)行各種操作,而不僅限于路由器原有提供的功能,從而導(dǎo)致更大的危害。
來源:綠盟科技投稿
思科路由器配置指南
網(wǎng)絡(luò)技術(shù)支持系統(tǒng)集成IT維護(hù)網(wǎng)絡(luò)外包服務(wù)系統(tǒng)架構(gòu)設(shè)計方案咨詢----------------------------------------
剛拿到新的路由器,上架后我們要做的基本配置如下:
1. 路由器默認(rèn)登錄用戶名和密碼是cisco.登錄后一定要修改用戶名和密碼,否則下次將無法登錄。
全局模式下:R2(config)#username test password 12345
如果要防止別人查看你的密碼,可以將密碼加密:
R2(config)#service password-encryption
2.路由器的enable密碼一定要設(shè)置的,特別是我們通過虛擬終端VTY方式登錄時。
R2(config)#enable secret cisco123
3. 很多時候我們的路由器需要通過遠(yuǎn)程管理,我們需要配置TELNET。
R1(config)#line vty 0 4
R1(config-line)#pass
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#end
4. 通過上面三步后我們基本就能管理起設(shè)備了,當(dāng)然管理設(shè)備的IP是需要配置的,這里就不講了,考慮到設(shè)備配置后,我們需要了解設(shè)備的運行狀態(tài),這里講下日志的配置。
R1(config)#logging on
R1(config)#service timestamps log
R1(config)#logging buffered 40960
R1(config)#service sequence-numbers
5. 設(shè)置時間:
R1#clock set 22:32:00 july 20 2013
R1(config)#clock timezone GMT + 8
