什么是 CDP（思科发现协议）攻击？

CDP 是 Cisco 设备使用的第 2 层协议；它用于发现网络中其他直接连接的 Cisco 设备，这允许设备自动配置其连接，从而简化连接和配置。

通常，大多数 Cisco 设备都启用了CDP 。由于路由器不循环它，因此 CDP 数据通过周期性广播传输，这些广播在 cisco 设备 CDP 表中本地维护。

CDP 数据库包含有关设备的大量数据，例如功能、IP 地址、本地 VLAN、软件版本、平台版本等。当所有这些信息通过受感染的系统到达恶意用户手中时，他们可以使用此信息来查找攻击网络的漏洞。通常作为 DoS 攻击进行。由于 CDP 未经身份验证，恶意用户还可以制作伪造的 CDP 数据包并将其转发到其他设备。

可能的攻击：

• Telnet 攻击： Telnet 是一种不安全的协议，恶意用户可以使用它来远程访问网络设备。然后，他们可以对交换机上的虚拟终端发起暴力攻击以破解密码。
• 蛮力密码攻击：对于这种攻击，恶意用户使用常用密码列表以及可以通过使用字典列表中的每个单词建立 telnet 会话的程序。如果字典列表攻击没有破解密码，那么在下一步的暴力攻击中，恶意用户可能会使用组合攻击来破解密码。
• Telnet DoS 攻击： Telnet 可用于 DoS 攻击，在这种情况下，恶意用户可以利用交换机上运行的 telnet 服务器软件中的一个漏洞，使 telnet 服务无法访问。这可以与其他各种直接攻击一起使用，以防止管理员在攻击期间远程访问重要设备和交换机管理。
• CVE-2020-3110 或 cisco 视频监控 8000 系列 IP 摄像机 CDP 中的 RCE 和 DoS 漏洞：恶意用户可以通过将伪造的 CDP 数据包转发到受影响的 IP 摄像机来利用此漏洞，此漏洞允许未经身份验证的用户远程执行代码，它还可以让他们意外地重新加载受影响的相机，从而导致 DoS 条件。
• CVE-2020-3111 或 Cisco IP 电话的 RCE 和 DoS 漏洞：这可能允许恶意未经授权的用户以 root 权限执行 RCE 攻击，还可能允许他们重新加载任何受影响的 IP 电话，从而导致类似 DoS 的情况。
• CVE-2020-3118 或 Cisco IOS XR 软件 CDP 的格式字符串漏洞：Cisco IOS XR 软件的 CDP 执行中的此漏洞可以让未经授权的恶意用户执行任意代码，还可能导致受影响设备重新加载，从而导致堆栈溢出。

预防 CDP 攻击：

可以考虑以下几点来防止 CDP 攻击。

• 用户可以使用“no cdp run”命令在不需要的设备或端口上禁用 CDP。
• 为防止暴力密码攻击，用户应经常将密码更改为强密码。
• ACL（访问控制列表）可用于限制对虚拟终端线路的访问。
• 用户应禁用连接到外部网络的路由器上的 CDP。

检测：

可以在 CDP 监视器的帮助下监控 CDP 的变化，这个 CDP 程序有助于发现网络上的 CDP 变化；它可以通过提示消息框通知用户，也可以发送警告电子邮件。由于可以从 CDP 监视器发送自定义 CDP 数据包，因此它也有助于 CDP 欺骗攻击。