1. SNMP

SNMP请求信息是从管理器向snmp agent代理发出的。请求信息用于获取代理信息或指示snmp agent配置设备参数。SNMP agent代理必须正确解码和处理该信息。在解码以及随后的数据处理过程中,代理和管理器都有出现拒绝服务错误、格式化字符串错误和缓冲溢出***的可能。有的***甚至不需要提供正确的SNMP community string(SNMP协议设置的一个关键参数,有点类似口令)。这些漏洞可以导致拒绝服务、服务中断,还有一些情况下可以允许***者获取设备的非法访问权限。***对于不同的产品有不同的影响。

防范措施:

* 禁止SNMP服务.

* 边界访问过滤

* 修改缺省的"community string"

* 隔离SNMP, 包括物理隔离、VLAN逻辑隔离和×××方式的隔离

* 升级SNMP

2. PMTUD***

通过P MTUD协议(RFC1191)利用ICMP "fragmentation needed and DF bit set"消息可以找出任意网络路径中最小的MTU值,该值为此路径的PMTU。如果***者恶意构造PMTUD协议的ICMP "fragmentation needed and DF bit set"消息会导致被***设备的MTU被设置成一个非常小的值直接导致拒绝服务***。使用这种***方式会导致被***设备流量阻塞,导致一些网络协议工作不正常,如:BGP, LDPDLSw等。

防范措施:

* 禁止PMTUD服务.

设定MTU最小值,丢弃包含更小MTU的消息。