2024年4月7日发(作者:)

cisco路由器关闭一些不必要服务

一、Cisco发觉协议

CDP是一个Cisco专用协议,运行在所有Cisco产品的第二层,用来和其他直截了当相连的

Cisco设备共享差不多的设备信息。独立于介质和协议。

黑客再勘测攻击中使用CDP信息,这种可能性是比较小的。因为必须在相同的广播域才能

查看CDP组播帧。因此,建议在边界路由器上关闭CDP,或至少在连接到公共网络的接口上关

闭CDP.

缺省情形下是启用的 。全局关闭CDP,使用no cdp run命令,关闭之后,应该使用sho

w cdp验证CDP是否已被关闭。

二、TCP和UDP低端口服务

TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都差不

多过时:如日期和时刻(daytime,端口13),测试连通性(echo,端口7)和生成字符串(ch

argen,端口19)。

要在路由器上关闭这些服务,使用下面的配置:Router(config)#no service tcp-small

-serversRouter(config)#no service udp-small-servers

三、Finger

Finger协议(端口79)承诺网络上的用户获得当前正在使用特定路由选择设备的用户列表,

显示的信息包括系统中运行的进程、链路号、连接名、闲置时刻和终端位置。通过show user

命令来提供的。

Finger是一个检测谁登录到一台主机的UNIX程序,而不用亲自登录到设备来查看。

(connect 192.168.1.254 finger)Router(config)#no ip fingerRouter(config)#

no service finger

当对路由器执行一个finger操作时,路由器以show users命令的输出来作为响应。要阻止

响应,使用no ip finger命令,将关闭finger服务。在较老的版本中,使用no service finge

r命令。在较新版本中,两个命令都适用。

四、IdentD

IP鉴不支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份,以及

响应该连接的主机的身份。

IdentD承诺远程设备为了识不目的查询一个TCP端口。是一个不安全的协议,旨在关心识

不一个想要连接的设备。一个设备发送要求到Ident端口(TCP 113),目的设备用其身份信息

作为响应,如主机和设备名。

如果支持IP鉴不,攻击者就能够连接到主机的一个TCP端口上,公布一个简单的字符串以

要求信息,得到一个返回的简单字符串响应。

要关闭IdentD服务,使用下面的命令:Router(config)#no ip identd