信息提供：

漏洞類別：

攻擊類型：

發布日期：

更新日期：

受影響系統：

安全系統：

無

漏洞報告人：

漏洞描述：

BUGTRAQ  ID: 6443

Internet Operating System (IOS)是一款使用于CISCO路由器上的操作系統。

使用偽造的EIGRP鄰居通告可以使路由器在網絡段引起ARP風暴，遠程攻擊者可以利用這個漏洞對路由器進行拒絕服務攻擊，消耗所有帶寬。

EIGRP使用自動發現鄰居路由器方式進行路由發現。EIGRP路由器通過在使能接口上多播而公布其存在。假如兩個路由器彼此發現對方，它們將交換當前拓撲信息，雙方也需要獲得對方路由器MAC地址。

當使用隨機源
CISCO IOS存在一個漏洞，在聯系發送者時會持續請求發送MAC地址，這個過程沒有超時操作，除非EIGRP鄰居保持時間過期，這個值又發送端提供并最大可以超過18小時。

多個使用不存在的源IP地址鄰居通告，可以導致路由器消耗大量CPU利用率和消耗大量帶寬，造成拒絕服務攻擊。

使用IP多播和EIGRP通告將會有更好的攻擊效果。CISCO IOS低于12.0的版本可接收以單播方式的EIGRP鄰居通告，導致存在通過Internet進行攻擊的可能。

測試方法：

無

解決方法：

臨時解決方法：

假如您不能馬上安裝補丁或者升級，NSFOCUS建議您采取以下措施以降低威脅：

* 實現使用md5 HASH進行EIGRP驗證。

http://www.cisco.com/univercd/cc/td/doc/PRodUCt/software/ios120/12cgcr/np1_c/1cprt1/1ceigrp.htm#xtocid18

* 假如在單播方式使用EIGRP，可以使用切當的ACL阻擋來自非法主機的通告，下面的例子EIGRP鄰居IP地址為10.0.0.2，本地路由器地址為10.0.0.1：

Router#config t

Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1

Router(config)#access-list 111 deny eigrp any host 10.0.0.1

廠商補?。?BR>
Cisco

-----

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.cisco.com/warp/public/707/advisory.Html