基于CDP协议网络攻击的安全防范

摘要：CDP（Cisco Discovery Protocol）是思科的一个数据链路层的发现协议，运行在思科路由器、网桥、接入服务器和交换机等设备上，用来发现和查看相邻设备详细信息的一种重要协议，如IP地址、软件版本、平台、性能和本机VLAN等。入侵者通常利用拒绝服务（DoS）等攻击获得这些信息，并利用这些信息进行CDP欺骗，造成很大的安全威胁。

关键词：CDP协议；网络攻击；安全防范

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 16-0000-01

The Security of Network Attacks Based on CDP Protocol

Jiang Baohua

(Changchun University,Tourism College,Department of Basic,Changchun130607,China)

Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.

Keywords:CDP protocol;Network attacks;Security

一、CDP协议发现原理

要发现CDP协议的安全漏洞，就要知道其工作原理。CDP协议与现有的网络协议类型无关，主要用来发现与本地设备直接相连的Cisco设备。每个运行CDP协议的设备都会定期发送宣告消息，来更新邻居信息。同时每个运行CDP的设备也会接收CDP消息来记录邻居设备的信息。这些信息包括设备名称、本地接口、硬件版本、IOS版本、IOS平台、工作模式、本地VLAN、连接保持等。利用这些信息可以描述整个网站的拓扑情况。而且这些报文信息不加密，是明文。CDP发现直接相连的其他Cisco设备，，并在某些情况下自动配置其连接。CDP的优势非常明显，包括发现的速度、准确性、所获取的信息的详细程度。

CDP协议相关的命令与作用如下：（1）SHOW CDP命令获取CDP定时器和保持时间信息。（2）在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定时器和保持时间。（3）在路由器的全局配置模式下可以使用NO CDP RUN命令完全的关闭CDP。若要在路由器接口上关闭或打开CDP，使用NO CDP ENABLE和CDP ENABLE命令。（4）Show cdp neighbor命令可以显示有关直连设备的信息。要记住CDP分组不经过CISCO交换机这非常重要，它只能看到与它直接相连的设备。在连接到交换机的路由器上，不会看到连接到交换机上的其他所有设备。（5）Show cdp traffic命令显示接口流量的信息，包括发送和接收CDP分组的数量，以及CDP出错信息。（6）Show cdp interface命令可显示路由器接口或者交换机、路由器端口的状态。（7）debug cdp events启动CDP事件调试等等。

二、CDP协议安全威胁

确实在大部分情况下，CDP协议的作用是不可替代的。如在大多数网络中，CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优化。但是，其带来的安全隐患也不容忽视。在缺省状态下，Cisco品牌的交换机或路由器会自动在所有连接接口上发送CDP消息，这些消息由于没有采取安全加密措施，非法用户通过专业工具可以很轻松地窃取到这些敏感内容。当这些敏感信息被非法者拥有后，他们就能轻易了解到局域网中的组网结构，并通过相关地址对网络中的重要主机进行恶意攻击，最终造成网络无法安全、稳定地运行。

除了被动获取邻居设备的交换协议信息外，非法攻击者还可以利用专业的CDP工具程序定制伪造的CDP数据帧，来通知局域网中的高端网络管理软件，说在网络中新发现了一台网络设备。如此一来，相关网络设备就会主动尝试利用SNMP来联系“陷阱”设备，这个时候非法攻击者就会对这样的联系进行监控捕捉，从而有机会获得局域网中其他重要网络设备的名称、地址、接口等信息，日后就为攻击这些网络设备做好充足的准备工作。

此外，CDP协议还能欺骗思科的IP电话。当打开IP电话后，交换机就会通过CDP协议自动和IP电话交换CDP数据，并主动通知电话来让语音流量选用哪一个虚拟工作子网。在这一过程中，非法攻击者可以通过注入CDP数据帧的方法来欺骗IP电话，为语音流量分配一个错误的虚拟工作子网。

三、防范措施

根据CDP协议的工作原理CDP协议所发送的信息中包含了一些比较敏感的信息。如果这些信息被不法分子获得的话，那么将给企业的网络带来很大的安全隐患。为此保护的重点就是如何让这些敏感的信息不被外人所知。为了避免CDP协议泄露网络设备的相关信息，可以只在企业内部网络的设备中启用CDP协议。而在连接到互联网的企业级边缘路由器上的接口上禁用CDP协议。如此的话，相关的敏感信息不会泄露到企业的外部网络上。在配合网络防火墙等功能，就可以保证CDP协议信息的安全。可以在连接到服务器提供商或者企业边缘路由器的接口上禁用CDP协议。其他地方如果有安全需要的话，可以根据情况来判断是否启用CDP协议。在可以的情况下，还是启用CDP协议为好。例如，在单位内网环境中，只要部署好了网络防火墙和网络防病毒软件，就可以将网络中交换机或路由器上的CDP发现功能启用起来，以便为日后的网络维护与优化提供方便，因为内网环境在多项安全措施的保护下，CDP发现协议存在的安全威胁会大大下降。此外，在一些安全性要求不高的网络环境中，也可以通过启用CDP发现协议来提高网络故障的排查效率。例如，在普通的网吧工作环境中，由于不存在太重要的敏感信息，开启CDP协议可以方便平时的管理、维护操作。在一些安全性要求比较高的网络环境中，或者是单位网络的边缘网络设备上，尽量不要使用CDP协议，毕竟CDP协议或多或少地会带来一些麻烦。比方说，在银行、证券等金融网络中，应该慎重使用CDP协议，因为这个网络中包含的敏感、隐私信息特别多，要是被非法用户发现的话，就相当于暴露了许多攻击目标。

在语音VLAN应用环境中，在企业内部网络中可以启用CDP协议，而在企业级别的边缘路由器上则禁用CDP协议。通过Vlan将企业的内部网络划分成几个独立的虚拟网，能够起到分割广播包、缩小冲突域等作用，对于企业内部网络的安全有着很大的作用。

基于CDP协议的网络攻击正是利用了CDP协议本身的安全漏洞，最行之有效的防范措施就是在特定的场合开关发现功能，并动态地利用各种软手段达到最佳效果。

[作者简介]姜宝华（1977-），男，吉林省长春市人，长春大学旅游学院，讲师，研究方向：计算机软件工程。