一、Cisco發(fā)現(xiàn)協(xié)議

CDP是一個(gè)Cisco專用協(xié)議，運(yùn)行在所有Cisco產(chǎn)品的第二層，用來和其他直接相連的Cisco設(shè)備共享基本的設(shè)備信息。獨(dú)立于介質(zhì)和協(xié)議。

黑客再勘測攻擊中使用CDP信息，這種可能性是比較小的。因?yàn)楸仨氃谙嗤膹V播域才能查看CDP組播幀。所以，建議在邊界路由器上關(guān)閉CDP,或至少在連接到公共網(wǎng)絡(luò)的接口上關(guān)閉CDP.
缺省情況下是啟用的。全局關(guān)閉CDP,使用no cdp run命令，關(guān)閉之后，應(yīng)該使用show cdp驗(yàn)證CDP是否已被關(guān)閉。

二、TCP和UDP低端口服務(wù)

TCP和UDP低端口服務(wù)是運(yùn)行在設(shè)備上的端口19和更低端口的服務(wù)。所有這些服務(wù)都已經(jīng)過時(shí)：如日期和時(shí)間（daytime,端口13），測試連通性（echo,端口7）和生成字符串（chargen,端口19）。

下面顯示了一個(gè)打開的連接，被連接的路由器上打開了chargen服務(wù)：Router#telnet 192.168.1.254 chargen

要在路由器上關(guān)閉這些服務(wù)，使用下面的配置：Router（config）#no service tcp-small-serversRouter（config）#no service udp-small-servers

關(guān)閉了這些服務(wù)之后，用下面方法進(jìn)行測試，如：Router（config）#telnet 192.168.1.254 daytime

三、Finger

Finger協(xié)議（端口79）允許網(wǎng)絡(luò)上的用戶獲得當(dāng)前正在使用特定路由選擇設(shè)備的用戶列表，顯示的信息包括系統(tǒng)中運(yùn)行的進(jìn)程、鏈路號、連接名、閑置時(shí)間和終端位置。通過show user命令來提供的。

Finger是一個(gè)檢測誰登錄到一臺主機(jī)的UNIX程序，而不用親自登錄到設(shè)備來查看。

下面顯示了一個(gè)驗(yàn)證finger服務(wù)被打開和如何關(guān)閉的例子：Router#telnet 192.168.1.254 finger

（connect 192.168.1.254 finger）Router（config）#no ip fingerRouter（config）#no service finger

當(dāng)對路由器執(zhí)行一個(gè)finger操作時(shí)，路由器以show users命令的輸出來作為響應(yīng)。要阻止響應(yīng)，使用no ip finger命令，將關(guān)閉finger服務(wù)。在較老的版本中，使用no service finger命令。在較新版本中，兩個(gè)命令都適用。

四、IdentD

IP鑒別支持對某個(gè)TCP端口身份的查詢。能夠報(bào)告一個(gè)發(fā)起TCP連接的客戶端身份，以及響應(yīng)該連接的主機(jī)的身份。

IdentD允許遠(yuǎn)程設(shè)備為了識別目的查詢一個(gè)TCP端口。是一個(gè)不安全的協(xié)議，旨在幫助識別一個(gè)想要連接的設(shè)備。一個(gè)設(shè)備發(fā)送請求到Ident端口（TCP 113），目的設(shè)備用其身份信息作為響應(yīng)，如主機(jī)和設(shè)備名。

如果支持IP鑒別，攻擊者就能夠連接到主機(jī)的一個(gè)TCP端口上，發(fā)布一個(gè)簡單的字符串以請求信息，得到一個(gè)返回的簡單字符串響應(yīng)。

要關(guān)閉IdentD服務(wù)，使用下面的命令：Router（config）#no ip identd

可以通過Telnet到設(shè)備的113端口來進(jìn)行測試。

五、IP源路由

應(yīng)該在所有的路由器上關(guān)閉，包括邊界路由器?？梢允褂孟旅娴拿睿篟outer（config）#no ip source-route禁止對帶有源路由選項(xiàng)的IP數(shù)據(jù)包的轉(zhuǎn)發(fā)

六、FTP和TFTP

路由器可以用作FTP服務(wù)器和TFTP服務(wù)器，可以將映像從一臺路由器復(fù)制到另一臺。建議不要使用這個(gè)功能，因?yàn)镕TP和TFTP都是不安全的協(xié)議。

默認(rèn)地，F(xiàn)TP服務(wù)器在路由器上是關(guān)閉的，然而，為了安全起見，仍然建議在路由器上執(zhí)行以下命令：Router（config）#no ftp-server write-enable （12.3版本開始）Router（config）#no ftp-server enable

可以通過使用一個(gè)FTP客戶端從PC進(jìn)行測試，嘗試建立到路由器的連接。