Tweet
Giao thức CDP
Hầu hết các thiết bị mạng như Router, Switch, Firewall… của các hang như Cisco, HP, D-link … đều có giao thức cho phép thiết bị thu thập thông tin về các thiết bị láng giềng kết nối trực tiếp với mình để dễ quản lý cũng như là một công cụ để vẽ nên sơ đồ mạng. Trong đó Cisco có giao thức độc quyền là CDP, những Switch khác thì chạy theo một chuẩn chung là LLDP
Trong bài viết này mình sẽ giới thiệu cách hoạt động của giao thức CDP và cách ngăn chặn tấn công giao thức CDP
CDP là một giao thức độc quyền của Cisco, mặc đinh thì giao thức CDP được bật trên tất cả các cổng, các cổng này sẽ gửi thông điệp CDP đến các thiết bị Cisco láng giềng, qua việc trao đổi thông điệp CDP thì các các thiết bị sẽ nắm rõ được hết các thiết bị láng giềng của mình. Các thông điệp này được gửi định kì 60s một lần và chỉ trên các đường link có trạng thái up/up.
Hold time: là thời gian chờ phản hồi từ thiết bị lắng giềng, nếu trong thời gian 180 s mà thiết bị Cisco không nhận được thông tin từ láng giềng thì sẽ xóa thông tin láng giềng trong bảng CDP neighbor.
Sau đây là sơ đồ bài Lab gồm 1 Router, 1 PC và 1 Switch được đấu theo mô hình bên dưới để hiểu rõ hơn về hoạt động của CDP:
Chuẩn bị:
Trên Switch01 thực hiên các câu lệnh:
Trên Router01 thực hiện các câu lệnh:
1. Thực hiện show các lệnh cơ bản của CDP
Lệnh "show cdp neighbors" cho biết được các thông tin láng giềng như: tên của thiết bị láng giềng, cổng kết nối tới thiết bị láng giềng, thời gian mà thiết bị chưa nhận được thông tin về láng giềng, láng giềng là thiết bị nào, dòng sản phẩm của thiết bị láng giềng, cổng của láng giềng kết nối đến mình.
Các thông tin nhận được
Device ID: Tên của thiết bị láng giềng Switch01
Local Interface: Router01 sử dụng cổng F0/0 để nối đến Switch01
Holdtime: thời gian mà thiết bị chưa nhận được thông tin về láng giềng là 151 s
Capability: láng giềng là thiết bị Switch
Platform: dòng sản phẩm của thiết bị láng giềng là 2960
Port ID: láng giềng sử dụng cổng F0/1 kết nối đến Router01
2. Thực hiện lệnh show chi tiết bảng CDP
Lệnh "show cdp neighbors detail" cho biết thêm một số thông tin khác của láng giềng như: địa chỉ ip của láng giềng, hệ điều hành mà láng giềng đang sử dụng:
.
III. Tấn công giao thức CDP
1. Tấn công giao thức CDP
Những thông tin này mặc định được gửi ra trên các port và rất dễ bị tấn công nhằm mục đích nghe lén để xác định xem là ip của Server, Switch, Router là bao nhiêu, đang chạy trên hệ điều hành nào…
Do mỗi hệ điều hành, mỗi phiên bản điều có các lỗ hỏng riêng, nếu hacker biết được thông tin này thì sẽ tìm ra các lỗi và từ các lỗ hỏng này tấn công vào hệ thống
2. Ngăn chặn tấn công CDP
Do CDP mặc định được bật trên tất cả các cổng nên dễ bị rò rĩ thông tin ip cũng như hệ điều hành mà thiết bị đang sử dụng. Ta chỉ bật giao thức CDP trên các cổng kết nối giữa các thiết bị mạng quan trọng để dễ dàng quản lý và tắt trên các cổng kết nối các thiết bị người dùng để tránh khỏi sự can thiệp không cần thiết.
Hầu hết các thiết bị mạng như Router, Switch, Firewall… của các hang như Cisco, HP, D-link … đều có giao thức cho phép thiết bị thu thập thông tin về các thiết bị láng giềng kết nối trực tiếp với mình để dễ quản lý cũng như là một công cụ để vẽ nên sơ đồ mạng. Trong đó Cisco có giao thức độc quyền là CDP, những Switch khác thì chạy theo một chuẩn chung là LLDP
Trong bài viết này mình sẽ giới thiệu cách hoạt động của giao thức CDP và cách ngăn chặn tấn công giao thức CDP
CDP là một giao thức độc quyền của Cisco, mặc đinh thì giao thức CDP được bật trên tất cả các cổng, các cổng này sẽ gửi thông điệp CDP đến các thiết bị Cisco láng giềng, qua việc trao đổi thông điệp CDP thì các các thiết bị sẽ nắm rõ được hết các thiết bị láng giềng của mình. Các thông điệp này được gửi định kì 60s một lần và chỉ trên các đường link có trạng thái up/up.
Hold time: là thời gian chờ phản hồi từ thiết bị lắng giềng, nếu trong thời gian 180 s mà thiết bị Cisco không nhận được thông tin từ láng giềng thì sẽ xóa thông tin láng giềng trong bảng CDP neighbor.
Sau đây là sơ đồ bài Lab gồm 1 Router, 1 PC và 1 Switch được đấu theo mô hình bên dưới để hiểu rõ hơn về hoạt động của CDP:
Sơ đồ bài Lab
Bảng qui hoạch IP:Chuẩn bị:
- Thực hiện đặt IP theo bảng qui hoạch IP
Trên Switch01 thực hiên các câu lệnh:
Trên Router01 thực hiện các câu lệnh:
1. Thực hiện show các lệnh cơ bản của CDP
Lệnh "show cdp neighbors" cho biết được các thông tin láng giềng như: tên của thiết bị láng giềng, cổng kết nối tới thiết bị láng giềng, thời gian mà thiết bị chưa nhận được thông tin về láng giềng, láng giềng là thiết bị nào, dòng sản phẩm của thiết bị láng giềng, cổng của láng giềng kết nối đến mình.
Các thông tin nhận được
Device ID: Tên của thiết bị láng giềng Switch01
Local Interface: Router01 sử dụng cổng F0/0 để nối đến Switch01
Holdtime: thời gian mà thiết bị chưa nhận được thông tin về láng giềng là 151 s
Capability: láng giềng là thiết bị Switch
Platform: dòng sản phẩm của thiết bị láng giềng là 2960
Port ID: láng giềng sử dụng cổng F0/1 kết nối đến Router01
2. Thực hiện lệnh show chi tiết bảng CDP
Lệnh "show cdp neighbors detail" cho biết thêm một số thông tin khác của láng giềng như: địa chỉ ip của láng giềng, hệ điều hành mà láng giềng đang sử dụng:
.
III. Tấn công giao thức CDP
1. Tấn công giao thức CDP
Những thông tin này mặc định được gửi ra trên các port và rất dễ bị tấn công nhằm mục đích nghe lén để xác định xem là ip của Server, Switch, Router là bao nhiêu, đang chạy trên hệ điều hành nào…
Do mỗi hệ điều hành, mỗi phiên bản điều có các lỗ hỏng riêng, nếu hacker biết được thông tin này thì sẽ tìm ra các lỗi và từ các lỗ hỏng này tấn công vào hệ thống
2. Ngăn chặn tấn công CDP
Do CDP mặc định được bật trên tất cả các cổng nên dễ bị rò rĩ thông tin ip cũng như hệ điều hành mà thiết bị đang sử dụng. Ta chỉ bật giao thức CDP trên các cổng kết nối giữa các thiết bị mạng quan trọng để dễ dàng quản lý và tắt trên các cổng kết nối các thiết bị người dùng để tránh khỏi sự can thiệp không cần thiết.
- Trong sơ đồ này do cổng F0/2 của Switch01 kết nối đến người dùng cuối nên khi tắt CDP thì không ảnh hưởng đến việc quản lý cũng như vẽ sơ đồ mạng, nên ta có thể tắt CDP nhằm tránh bị rò rĩ thông tin địa chỉ IP hoặc hệ điều hành của Switch01 nhằm ngăn chặn sự tấn công hệ thống mạng
- Muốn tắt CDP trên một port cụ thể thì vào interface đó gõ lệnh "no cdp enable"
- Nếu muốn tắt CDP trên tất cả các port thì gõ "no cdp run" trên global config