存储在线 4月14日北京消息:在本周发表的第二个IOS安全通报里,思科警告说一个在互联网上使用的公共管理协议有可能被用来发动针对思科路由器和其他基于IP的设备的DoS攻击。
安全通报对基于互联网控制消息协议(ICMP)的潜在攻击发出了警告,攻击可能导致基于IOS的设备不能访问。思科的安全通报是根据英国国家基础设施安全协调中心贴出的一份通报发布的,英国的通报参考了IETF网站发表的一份描写ICMP如何被用于发起针对TCP通信的DoS攻击的文档。
ICMP是和TCP/IP一起使用的一个协议,用于向设备发出网络中断警报并向IP网络中的对等设备报告诊断信息。据IETF文档说,攻击者有可能给运行TCP的设备发送某些ICMP“硬错误”消息,导致设备重置TCP连接或降低TCP连接的吞吐率。如果反复发送这样的ICMP消息,设备就可能变得不可用。IETF文档还概述了利用路径最大化传输设备发现(PMTUD)的另一种DoS攻击方法。PMTUD是ICMP的一个处理错误消息的机制。
思科表示,只有运行启用PMTUD的IOS的路由器和其他产品会受到这种攻击。它指出ICMP“硬错误”消息攻击对思科设备无效。不过,所有版本的IOS(10.x、11.x和12.x)易受基于PMTUD的攻击。其他不基于IOS的设备也易受攻击,包括思科Aironet WLAN设备、堆叠式和机箱式Catalyst交换机和ONS光网络设备。
思科表示在运行TCP/IP 4的IOS设备中PMTUD默认是禁用的,但在运行TCP/IP 6或IPSec的IOS设备中PMTUD默认是启用的,如VPN设备和PIX安全专用设备。
思科警告说,基于IOS-XR的CRS-1互联网路由器易受PMTUD攻击和ICMP“硬错误”消息攻击。(PMTUD在IOS-XR中默认是禁用的)。
思科发布了软件补丁程序。思科表示在思科设备中禁用PMTUD是解决问题的一个办法。