为你介绍Cisco新发布针对路由器ICMP的攻击方法

　　ICMP是Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。现在小编给大家带来的教程是：为你介绍Cisco新发布针对路由器ICMP的攻击方法。

　　在这一篇教程里面，小编就主要面向思科用户简单的介绍一下针对路由器ICMP最新攻击方法的防御策略，同一时间还会为大家给出了一个具体的补救措施，相信看过这一篇教程的朋友，会对你有所帮助哟。

　　一、背景介绍

　　这一个安全公告针对于基于Internet控制报文协议（也就是ICMP）的潜在攻击发出了警告信息，攻击就可能会导致基于IOS的设备不可访问的。Cisco的安全公告主要就是根据英国国家基础设施安全协调中心（也就是NISCC）发布的一份通报所提出来的，然而NISCC发布的通报就是参考了IETF网站发表的一份描写ICMP究竟怎样才可以被用于发起针对TCP通信的DoS攻击的文档。

　　相信大家都应该知道ICMP是TCP/IP协议族的一个子协议，主要就是用于在IP主机以及路由器这两者之间传递控制消息。控制消息所代表的意思就是网络通不通、主机是不是可达、路由是不是可用等等网络本身的消息。根据IETF文档来说的话，攻击者就有可能会给运行TCP的设备发送某一些ICMP“硬件错误”消息，从而就会导致网络设备重置TCP连接或者是降低TCP连接的吞吐率。假如说反反复复发送这样的ICMP消息，网络设备就有可能会变得对网络不可访问。另外一个方面，IETF文档还概述了利用路径最大传输单元发现（也就是PMTUD，它是一个标准化的技术在计算机网络确定最大传输单元(MTU)的大小对网络路径在两个互联网协议(也就是IP)主机,通常目标是避免IP碎片）的另外一种DoS（DOS是个人计算机上的一类操作系统）攻击方法。在这里大家都需要注意一点，那就是PMTUD是ICMP的一个处理错误消息的机制。

　　二、补救措施

　　Cisco表示，仅仅只有运行启用了PMTUD的IOS的路由器以及其他一些网络设备才会受到这一种攻击的。除此之外，它还指出了ICMP“硬件错误”消息攻击对思科设备没有效。不过，全部版本的IOS（也就是10.x、11.x以及12.x）比较容易受到基于PMTUD的攻击。其他一些不基于IOS的网络设备也会非常容易受到攻击的。当然啦，这也包括了思科AironetWLAN设备、堆叠式以及机架式Catalyst交换机以及ONS光网络设备等等。

　　另外一个方面，思科公司还表示，在运行IPv4的IOS设备里面PMTUD默认情况下面是禁用的，但是在运行IPv6或者是IPSec的IOS设备里面PMTUD默认是启用的，就比如说：VPN设备以及PIX安全应用设备。Cisco警告说，他的基于IOS-XR操作系统的CRS-1互联网路由器是非常容易受到PMTUD攻击以及ICMP“硬错误”消息攻击的。（温馨提示：PMTUD在IOS-XR里面默认情况下面是禁用的哟）。

　　在这里小编想说的是，思科公司已经针对这一些漏洞发布了相关的软件补丁应用程序。同一时间，Cisco表示在思科的网络设备里面禁用PMTUD也是解决问题一个比较好的办法。

　　小编结语：

　　通过这篇考试认证教程，不知道大家是否已经学会了Cisco新发布针对路由器ICMP的攻击方法呢？如果还是不太懂，可以看多几遍教程哟，毕竟思科认证还是一种较为受欢迎的考试认证。课课家教育每天更新不同的教程，一起来学习吧。