安全通報對基于互聯網控制消息協議(ICMP)的潛在攻擊發(fā)出了警告����,攻擊可能導致基于IOS的設備不能訪問����。思科的安全通報是根據英國國家基礎設施安全協調中心貼出的一份通報發(fā)布的�,英國的通報參考了IETF網站發(fā)表的一份描寫ICMP如何被用于發(fā)起針對TCP通信的DoS攻擊的文檔。
ICMP是和TCP/IP一起使用的一個協議���,用于向設備發(fā)出網絡中斷警報并向IP網絡中的對等設備報告診斷信息�����。據IETF文檔說���,攻擊者有可能給運行TCP的設備發(fā)送某些ICMP“硬錯誤”消息��,導致設備重置TCP連接或降低TCP連接的吞吐率���。如果反復發(fā)送這樣的ICMP消息,設備就可能變得不可用���。IETF文檔還概述了利用路徑最大化傳輸設備發(fā)現(PMTUD)的另一種DoS攻擊方法�����。PMTUD是ICMP的一個處理錯誤消息的機制�����。
思科表示��,只有運行啟用PMTUD的IOS的路由器和其他產品會受到這種攻擊�。它指出ICMP“硬錯誤”消息攻擊對思科設備無效。不過���,所有版本的IOS(10.x�、11.x和12.x)易受基于PMTUD的攻擊����。其他不基于IOS的設備也易受攻擊,包括思科Aironet WLAN設備�、堆疊式和機箱式Catalyst交換機和ONS光網絡設備。
思科表示在運行TCP/IP 4的IOS設備中PMTUD默認是禁用的��,但在運行TCP/IP 6或IPSec的IOS設備中PMTUD默認是啟用的����,如VPN設備和PIX安全專用設備。
思科警告說�,基于IOS-XR的CRS-1互聯網路由器易受PMTUD攻擊和ICMP“硬錯誤”消息攻擊。(PMTUD在IOS-XR中默認是禁用的)��。
思科發(fā)布了軟件補丁程序�。思科表示在思科設備中禁用PMTUD是解決問題的一個辦法。
