Cisco IOS IPv6路由头信息泄露及拒绝服务漏洞

G大调的悲伤 · 发表于 2010-7-27 13:43:00

来吧兄弟，一起玩一起讨论！

您需要登录才可以下载或查看，没有账号？注册

×

更多精彩内容需要登录后查看

G大调的悲伤 · 发表于 2010-7-27 13:43:28

class drop-IPv6-RH0-class

　　drop

　　!

　　!-- Apply the Policy-Map to the Control-Plane of the device.

　　control-plane

　　service-policy input drop-IPv6-RH0-traffic

　　!

　　* 没有部署移动IPv6的Cisco IOS设备

　　对于IOS 12.2(15)T之前版本，使用ACL过滤所有包含有路由头的报文：

　　Router(config)#ipv6 access-list deny-sourcerouted

　　Router(config-ipv6-acl)#deny ipv6 any routing

　　Router(config-ipv6-acl)#deny ipv6 any routing

　　Router(config-ipv6-acl)#permit ipv6 any any

　　Router(config-ipv6-acl)#exit

　　Router(config)#interface Ethernet0

　　Router(config-if)#ipv6 traffic-filter deny-sourcerouted in

　　* 部署了移动IPv6的Cisco IOS设备

　　IOS 12.2(15)T之后版本使用ipv6 source-route命令：

　　Router(config)#no ipv6 source-route

　　IOS 12.4(2)T版本中IPv6 ACL中添加了新的关键字routing-type，可用于有选择性的允许或拒绝特定的路由类型：

　　Router(config)#ipv6 access-list deny-sourcerouted

　　Router(config-ipv6-acl)#deny ipv6 any routing-type 0

　　Router(config-ipv6-acl)#permit ipv6 any any

　　Router(config)#interface Ethernet0

　　Router(config-if)#ipv6 traffic-filter deny-sourcerouted in

　　* 没有部署移动IPv6的Cisco IOS XR设备

　　使用ACL过滤所有包含有路由头的报文：

　　Router-IOS_XR#configure terminal

　　Router-IOS_XR(config)#ipv6 access-list deny-ipv6-type0-rh

　　Router-IOS_XR(config-ipv6-acl)#deny ipv6 any host 2001:0DB8:12::3 routing

　　Router-IOS_XR(config-ipv6-acl)#permit ipv6 any any

　　Router-IOS_XR(config-ipv6-acl)#exit

　　Router-IOS_XR(config)#interface GigabitEthernet 0/0/0/1

　　Router-IOS_XR(config-if)#ipv6 access-group deny-ipv6-type0-rh ingress

　　Router-IOS_XR(config-if)#end

　　厂商补丁：

　　Cisco

　　-----

　　Cisco发布了一个安全公告(cisco-sa-20070808-IOS-IPv6-leak)以及相应补丁:

　　cisco-sa-20070808-IOS-IPv6-leak：Cisco IOS Information Leakage Using IPv6 Routing Header

　　链接：http://www.cisco.com/warp/public ... IOS-IPv6-leak.shtml

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/266/11437766_2.shtml