CISCO的EIGRP易遭受DOS攻击，临时解决方案

team470

　　涉及程序：
Cisco Systems IOS EIGRP

描述：
Cisco Systems IOS EIGRP 伪造源IP地址拒绝服务攻击缺陷

详细：

EIGRP协议在网络中是通过向邻近的路由器发送多点广播(multicast)以表明自己的存在，并且彼此交换数据信息，以获得最新的网络拓扑结构。在以太网中，使用EIGRP协议的路由器需要获得相邻路由器的MAC地址。

当使用任意IP地址向网络中发送多点广播(multicast)数据或向单个Cisco路由器进行flood攻击时，所有接受到数据包的Cisco路由器将会尝试着连接发送端。当然，伪造数据包源IP地址必须在子网中受害路由器配置文件的"network"语句中显示是存在的。

恶意攻击者利用EIGRP协议的这个bug，将会使受害路由器不断地尝试去获得实际上并不存在的路由器MAC地址，直到尝试获得MAC地址的进程超时为止，而据测试报告这个进程将可能持续18个小时。使用多个并不存在的源地址向目标路由器发送数据包将会导致受害路由器耗尽所有的CPU资源，并且因为由此产生的大量ARP请求占用整个网段中大量或所有带宽。

使用EIGRP协议的企业网因为此安全缺陷而存在高安全风险。12.0 以下版本的 Cisco IOS 由于将接收的相邻路由器发送的表明自己存在的多点广播(multicast)看作是单点广播(unicast)，更可能遭到来自Internet的拒绝服务攻击。

受影响系统：
Cisco IOS

测试平台:
IOS 11.3
IOS 12.0(19)
IOS 12.2


攻击方法：
暂无有效攻击代码

解决方案：

目前Cisco还没有提供补丁或者升级程序，建议用户随时关注厂商站点：

http://www.cisco.com

临时解决方案：

首先，在EIGRP验证中使用MD5签名算法；如果不能起到作用，则使用扩展访问控制列表(Extended Access Control Lists)去限制仅仅接收受信任相邻路由器信息。