CDP：思科發(fā)現(xiàn)協(xié)議（CDP：Cisco Discovery Protocol）,CDP 基本上是用來(lái)獲取直連設(shè)備的協(xié)議地址以及發(fā)現(xiàn)這些設(shè)備的平臺(tái)。支持ATM, Ethernet, FDDI, frame relay, HDLC, PPP, token ring.

CDP 協(xié)議能獲取如下信息:

1.     cisco設(shè)備名字

2.     cisco設(shè)備類型，型號(hào)

3.     設(shè)備運(yùn)行IOS的version

4.     設(shè)備功能，Eg:路由器，交換機(jī)或是其他

5.     三層接口地址

6.     設(shè)備獲取cdp信息來(lái)源

 

Eg:

Router#show cdp neighbors detail

-------------------------

Device ID: R1

Entry address(es):

  IP address: 12.12.12.1

Platform: Cisco 7206VXR,  Capabilities: Router

Interface: FastEthernet1/0,  Port ID (outgoing port): FastEthernet1/0

Holdtime : 166 sec

 

Version :

Cisco IOS Software, 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2008 by Cisco Systems, Inc.

Compiled Fri 11-Jul-08 04:22 by prod_rel_team

 

advertisement version: 2

Duplex: full

 

禁用CDP協(xié)議：邊界路由器一般都需要關(guān)閉該功能

Router(config)#no cdp run--------全局模式下，對(duì)所有接口生效

 

Router(config-if)#no cdp enable-------------接口模式下禁用，針對(duì)當(dāng)前接口

 

==============================================================================TCP and UDP Small Servers

 

關(guān)閉TCP和UDP的一些無(wú)用的小服務(wù)，這些小服務(wù)的端口小于19，通常用在以前的UNIX環(huán)境中，如chargen，daytime等。

Eg：

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ... Open

Saturday, July 7, 2012 23:57:19-UTC

 

[Connection to 12.12.12.1 closed by foreign host]

 

Router(config)#no service tcp-small-servers

Router(config)#no service udp-small-servers

R1#telnet 12.12.12.1 daytime

Trying 12.12.12.1, 13 ...

% Connection refused by remote host

 

思科IOS 默認(rèn)是關(guān)閉的服務(wù)TCP小型服務(wù)器

==============================================================================

Finger

常用在UNIX中，用來(lái)確定誰(shuí)登陸到設(shè)備上,現(xiàn)在被E-mail和messenger取代。

Eg：

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ... Open

 

    Line       User       Host(s)              Idle       Location

   0 con 0                idle                 00:00:02  

*  2 vty 0                idle                 00:00:00 12.12.12.2

 

  Interface    User               Mode         Idle     Peer Address

 

[Connection to 12.12.12.1 closed by foreign host]

 

R1(config)# no ip finger

R1(config)#no service finger

 

Router#telnet 12.12.12.1 finger

Trying 12.12.12.1, 79 ...

% Connection refused by remote host

 

在絕大多數(shù)的IOS版本中，該特性默認(rèn)是禁用的，無(wú)論如何建議禁用該特性。

 

==============================================================================

IdentD

一個(gè)設(shè)備發(fā)送一個(gè)請(qǐng)求到Ident接口（TCP 113), 目標(biāo)會(huì)回答一個(gè)身份識(shí)別，如host名稱或者設(shè)備名稱。

Router(config)# no ip identd

 

通過(guò)telnet 113端口測(cè)試設(shè)備是否啟用了該服務(wù)：

Router#telnet 12.12.12.1 113

Trying 12.12.12.1, 113 ... Open

 

IdentD默認(rèn)情況下是禁用的。

 

 

 

=============================================================== 

IP Source Routing

 ip source-routing欺騙類似ARP攻擊：A在內(nèi)網(wǎng)， B,C在外網(wǎng)，A信任B， C想訪問(wèn)A上的數(shù)據(jù).... 于是它修改了自己的源IP地址，告訴A自己是B... 并加入源路由信息，記下了來(lái)時(shí)的路徑這樣A按數(shù)據(jù)來(lái)的路返回給了C。

 如果 no 了 ip source-route A發(fā)出的包會(huì)自己去尋找B，這樣，C還是得不到想要的。

 

默認(rèn)情況下該特性是開(kāi)啟的，禁用該特性：

Router(config)# no ip source-route

 

==============================================================================

FTP and TFTP

路由能提供FTP和TFTP的功能，通過(guò)該功能可以從一臺(tái)路由器copy Ios到另一條路由器。強(qiáng)烈建議禁止此功能。

 

默認(rèn)情況該功能是禁止的，禁止命令：Router(config)# no ftp-server enable
 

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206