CDP flooding je DoS útok využívajúci zraniteľnosť protokolu CDP, ktorý je od výroby zapnutý na väčšine Cisco zariadení. Po spustení útoku sa vyťaží CPU cieľového zariadenia na 100%, čím sa znemožní jeho chod. Ukážeme si, ako sa dá tento útok zahájiť a ako sa proti nemu brániť.
CDP je Cisco proprietárny protokol. Slúži na získavanie informácií o priamo pripojených zariadeniach, ako verzia IOS, model, IP adresa a pod. Tieto správy sú nešifrované, takže ak ich niekto odchytí, môže zistiť spomínané informácie.
Útok, ktorý si popíšeme, využíva inú zraniteľnosť. Aby si zariadenia mohli vymieňať spomínané informácie, musia nadviazať CDP susedstvo. Ak však na zariadenie príde veľké množstvo požiadaviek o susedstvo naraz, vyťaží sa procesor a prestane zvládať bežné úlohy.
Bežná prevádzka zariadenia
Nižšie môžeme vidieť, ako vyzerá stav routra pred zahájením útoku. Router nemá nadviazané žiadne CDP susedstvá a keďže cez neho neprechádza žiadna produkčná prevádzka, procesor má vyťažený takmer na 0%.
R1-NETVEL#show cdp traffic
R1-NETVEL#show cdp neighbors
R1-NETVEL#show processes cpu sorted | i CPU utilization|CDP Protocol
R1-NETVEL#show processes cpu history
Spustenie CDP flooding
Použijeme nástroj Yersinia, ktorý sa nachádza na linuxovej distribúcii KALI, rovnako, ako v ostatných návodoch, kde sme sa venovali penetračnému testovaniu a etickému hackingu.
Yersiniu spustíme nasledovným spôsobom:
root@kali:~#yersinia -G
Po kliknutí na záložku CDP:
spustíme útok: Launch attack -> flooding CDP table
vypneme útok: List attacks -> Cancel attack
Keď sa vrátime späť na router, uvidíme, že router nadviazal množstvo falošných susedstiev, vďaka čomu má vyťažené CPU stropom. V tomto okamihu už nie je schopný zvládať bežné prevádzkové úlohy.
R1-NETVEL#show cdp traffic
R1-NETVEL#show cdp neighbors
R1-NETVEL#show processes cpu sorted | i CPU utilization|CDP Protocol
R1-NETVEL#show processes cpu history
Ako vidíme, protokol CDP obsahuje veľmi nebezpečné zraniteľnosti, takže sa odporúča tento protokol vypnúť vždy, ak je to možné.
Ak chceme CDP vypnúť na celom routri, môžeme to urobiť v globálnom konfiguračnom móde nasledovným spôsobom:
R1-NETVEL(config)#no cdp run
Ak potrebujeme, môžeme ho vypnúť iba na vybraných interfacoch.
R1-NETVEL(config)#int fa0 R1-NETVEL(config-if)#no cdp enable
Máte záujem prihlásiť sa na kurz Etického hackovania siete? Viac informácii nájdete TU.
Chcete si vyskúšať aj iné návody etického hackovania? Pozrite sa na môj E-BOOK “Príručka Etického Hackera”, kde nájdete návody na 10 útokov na sieťovú infraštruktúru. Viac informácii nájdete TU.
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.
Spoločnosť NETVEL s.r.o. založil Matej Šipkovský, ktorý sa venuje najmä implementácii sieťových riešení a sieťovej bezpečnosti pre firemných klientov.
Študoval na Slovenskej Technickej Univerzite v Bratislave na Fakulte Elektrotechniky a Informatiky odbor Telekomunikácie, kde dokončil inžinierske štúdium. Počas školy získal certifikát Cisco CCNP Routing & Switching a neskôr pribudli certifikácie Cisco Certified Design Professional (CCDP), CCNA Security, AWS Certified Cloud Practitioner, ITILv4 Foundation a Fortinet Network Security Architect NSE7.