安全通報(bào)對基于互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)的潛在攻擊發(fā)出了警告�,攻擊可能導(dǎo)致基于IOS的設(shè)備不能訪問。思科的安全通報(bào)是根據(jù)英國國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心貼出的一份通報(bào)發(fā)布的,英國的通報(bào)參考了IETF網(wǎng)站發(fā)表的一份描寫ICMP如何被用于發(fā)起針對TCP通信的DoS攻擊的文檔����。
ICMP是和TCP/IP一起使用的一個(gè)協(xié)議�����,用于向設(shè)備發(fā)出網(wǎng)絡(luò)中斷警報(bào)并向IP網(wǎng)絡(luò)中的對等設(shè)備報(bào)告診斷信息����。據(jù)IETF文檔說,攻擊者有可能給運(yùn)行TCP的設(shè)備發(fā)送某些ICMP“硬錯(cuò)誤”消息���,導(dǎo)致設(shè)備重置TCP連接或降低TCP連接的吞吐率���。如果反復(fù)發(fā)送這樣的ICMP消息,設(shè)備就可能變得不可用����。IETF文檔還概述了利用路徑最大化傳輸設(shè)備發(fā)現(xiàn)(PMTUD)的另一種DoS攻擊方法。PMTUD是ICMP的一個(gè)處理錯(cuò)誤消息的機(jī)制����。
思科表示,只有運(yùn)行啟用PMTUD的IOS的路由器和其他產(chǎn)品會受到這種攻擊�����。它指出ICMP“硬錯(cuò)誤”消息攻擊對思科設(shè)備無效����。不過���,所有版本的IOS(10.x、11.x和12.x)易受基于PMTUD的攻擊�。其他不基于IOS的設(shè)備也易受攻擊,包括思科Aironet WLAN設(shè)備�、堆疊式和機(jī)箱式Catalyst交換機(jī)和ONS光網(wǎng)絡(luò)設(shè)備。
思科表示在運(yùn)行TCP/IP 4的IOS設(shè)備中PMTUD默認(rèn)是禁用的����,但在運(yùn)行TCP/IP 6或IPSec的IOS設(shè)備中PMTUD默認(rèn)是啟用的,如VPN設(shè)備和PIX安全專用設(shè)備��。
思科警告說��,基于IOS-XR的CRS-1互聯(lián)網(wǎng)路由器易受PMTUD攻擊和ICMP“硬錯(cuò)誤”消息攻擊��。(PMTUD在IOS-XR中默認(rèn)是禁用的)����。
思科發(fā)布了軟件補(bǔ)丁程序。思科表示在思科設(shè)備中禁用PMTUD是解決問題的一個(gè)辦法����。
