CDP flooding – Ako spraviť DoS útok vyťažením CPU na 100%

CDP flooding je DoS útok využívajúci zraniteľnosť protokolu CDP, ktorý je od výroby zapnutý na väčšine Cisco zariadení. Po spustení útoku sa vyťaží CPU cieľového zariadenia na 100%, čím sa znemožní jeho chod. Ukážeme si, ako sa dá tento útok zahájiť a ako sa proti nemu brániť.

CDP flooding CPU history

CDP je Cisco proprietárny protokol. Slúži na získavanie informácií o priamo pripojených zariadeniach, ako verzia IOS, model, IP adresa a pod. Tieto správy sú nešifrované, takže ak ich niekto odchytí, môže zistiť spomínané informácie.

Útok, ktorý si popíšeme, využíva inú zraniteľnosť. Aby si zariadenia mohli vymieňať spomínané informácie, musia nadviazať CDP susedstvo. Ak však na zariadenie príde veľké množstvo požiadaviek o susedstvo naraz, vyťaží sa procesor a prestane zvládať bežné úlohy.

Bežná prevádzka zariadenia

Nižšie môžeme vidieť, ako vyzerá stav routra pred zahájením útoku. Router nemá nadviazané žiadne CDP susedstvá a keďže cez neho neprechádza žiadna produkčná prevádzka, procesor má vyťažený takmer na 0%.

R1-NETVEL#show cdp traffic

CDP flooding traffic

R1-NETVEL#show cdp neighbors

CDP flooding neighbors

R1-NETVEL#show processes cpu sorted | i CPU utilization|CDP Protocol

CDP flooding CPU

R1-NETVEL#show processes cpu history

CDP flooding CPU history

Spustenie CDP flooding

Použijeme nástroj Yersinia, ktorý sa nachádza na linuxovej distribúcii KALI, rovnako, ako v ostatných návodoch, kde sme sa venovali penetračnému testovaniu a etickému hackingu.

Yersiniu spustíme nasledovným spôsobom:

root@kali:~#yersinia -G

Po kliknutí na záložku CDP:

spustíme útok: Launch attack -> flooding CDP table

vypneme útok: List attacks -> Cancel attack

CDP flooding yersinia

Keď sa vrátime späť na router, uvidíme, že router nadviazal množstvo falošných susedstiev, vďaka čomu má vyťažené CPU stropom. V tomto okamihu už nie je schopný zvládať bežné prevádzkové úlohy.

R1-NETVEL#show cdp traffic

CDP flooding traffic

R1-NETVEL#show cdp neighbors

CDP flooding neighbors

R1-NETVEL#show processes cpu sorted | i CPU utilization|CDP Protocol

CDP flooding CPU

R1-NETVEL#show processes cpu history

CDP flooding CPU history

Ako vidíme, protokol CDP obsahuje veľmi nebezpečné zraniteľnosti, takže sa odporúča tento protokol vypnúť vždy, ak je to možné.

Ak chceme CDP vypnúť na celom routri, môžeme to urobiť v globálnom konfiguračnom móde nasledovným spôsobom:

R1-NETVEL(config)#no cdp run

Ak potrebujeme, môžeme ho vypnúť iba na vybraných interfacoch.

R1-NETVEL(config)#int fa0
R1-NETVEL(config-if)#no cdp enable

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

Matej Šipkovský

Matej Šipkovský

Spoločnosť NETVEL s.r.o. založil Matej Šipkovský, ktorý sa venuje najmä implementácii sieťových riešení a sieťovej bezpečnosti pre firemných klientov. Študoval na Slovenskej Technickej Univerzite v Bratislave na Fakulte Elektrotechniky a Informatiky odbor Telekomunikácie, kde dokončil inžinierske štúdium. Počas školy získal certifikát Cisco CCNP Routing & Switching a neskôr pribudli certifikácie Cisco Certified Design Professional (CCDP), CCNA Security, AWS Certified Cloud Practitioner, ITILv4 Foundation a Fortinet Network Security Architect NSE7.
Matej Šipkovský

Matej Šipkovský

Spoločnosť NETVEL s.r.o. založil Matej Šipkovský, ktorý sa venuje najmä implementácii sieťových riešení a sieťovej bezpečnosti pre firemných klientov. Študoval na Slovenskej Technickej Univerzite v Bratislave na Fakulte Elektrotechniky a Informatiky odbor Telekomunikácie, kde dokončil inžinierske štúdium. Počas školy získal certifikát Cisco CCNP Routing & Switching a neskôr pribudli certifikácie Cisco Certified Design Professional (CCDP), CCNA Security, AWS Certified Cloud Practitioner, ITILv4 Foundation a Fortinet Network Security Architect NSE7.
Zdieľať príspevok:

Súvisiace príspevky