思科自家設備專用的CDP網路協定,可以讓該公司出品的網路產品更容易管理,但有利必有弊,因此本文將說明如何使用CDP協定的相關指令來增進管理效率,並同時避免不肖使用者藉此攻擊Cisco網路設備。
而且,由於多點模式子介面都屬於同一個子網路,所以能夠節省位址的使用數量。此外,也可以用於全狀拓樸的網路架構。
CDP相關的網路攻擊
在了解整個CDP協定的運作之後,各位剛才應該會注意到,所有設定使用CDP的Cisco設備都會傳送CDP的資料(稱為advertisement)到一個群播位址01:00:0C:CC:CC:CC中。
所以,每個Cisco設備會在這個上面去聆聽是否有其他設備的資訊。也因為這樣,所有啟動CDP協定的Cisco網路設備都一定會無條件不斷地去取得這個群播位置的資料,然後一直當作CDP資料來做
處理。
如果有使用者在這個網路環境中,瘋狂送出成千上萬假的CDP資料到01:00:0C:CC:CC:CC這個群播位置,就會讓所有啟動CDP協定的Cisco網路設備疲於奔命,而且會塞爆這些設備的Neighbor Table,導
致這些設備完全沒有任何心力能夠去處理其他事情,所有正常的網路封包將沒有辦法被正常地處理,而被丟棄。
當這種攻擊行為發生的時候,網路管理人員可能也沒有辦法透過CLI介面去關閉CDP協定,因為整個網路已經瀕臨癱瘓的地步,這種攻擊行為若翻成英文,稱之為CDP Spoofing。
當然,也不是沒有解決之道。其實最好的方法,就是只有在有需要的時候與環境才去啟動CDP協定。很多網路管理人員都知道「只開啟有需要的服務」是一件很重要的事情,這樣應該可以大幅度降低發生這種攻擊的可能性。
另外,如果各位所管理的網路環境是有防火牆的話,也許可以設定只有部分(也就是Cisco網路設備)才可以發送與接收傳送到01:00:0C:CC:CC:CC這個群播位置中的網路封包。如此一來,應該就可以徹底防止這種攻擊行為的發生。
結語
對於網路管理人員來說,整個網路拓樸的相關文件是非常重要的,有助於未來網路的設計、網路架構的改變以及疑難排解等等。網路拓樸文件應該包含實體性以及邏輯性的資料,最好包含以下這些訊息:
‧ 網路設備的連接關係
· 網路設備以及各個網段的位址資訊
· 網路線材的種類
· 各台網路設備的詳細資訊
· 網路架構版圖
· 設備的連接介面
· 終端埠的資訊
· 電源與電路相關資訊
成功管理網路架構的關鍵,就在於如何維護這些正確的網路拓樸文件,因此一旦網路架構有任何的改變,都應該對文件做相對應的修改,但是在使用CDP協定獲取便利性的同時,也要多注意其可能造成的網路危害。唯有做好預防措施,只啟動所需要的服務,才能保障整個網路的安全。
經由這篇文章的介紹,想必各位讀者已經了解如何在管理Cisco設備的同時,運用指令來了解整個網路的運作情形。
<本文作者:胡凱智,目前在美商Mozilla擔任全球技術專案總監,曾於趨勢科技任職七年多,有兩年美國矽谷工作經驗,在美國專利局擁有軟體專利。讀者可在其粉絲專頁獲取更多網路知識及交流建議:https://www.facebook.com/khu.page>