本文主要為廣大讀者總結了一些有關Cisco路由器的基礎知識中關閉一些不必要的服務的知識點，希望大家能夠有所收獲。

cisco路由器—Cisco發現協議

CDP是一個Cisco專用協議，運行在所有Cisco產品的第二層，用來和其他直接相連的Cisco設備共享基本的設備信息。獨立于介質和協議。

黑客再勘測攻擊中使用CDP信息，這種可能性是比較小的。因為必須在相同的廣播域才能查看CDP組播幀。所以，建議在邊界路由器上關閉CDP,或至少在連接到公共網絡的接口上關閉CDP.

缺省情況下是啟用的。全局關閉CDP,使用no cdp run命令，關閉之后，應該使用show cdp驗證CDP是否已被關閉。

cisco路由器—TCP和UDP低端口服務

TCP和UDP低端口服務是運行在設備上的端口19和更低端口的服務。所有這些服務都已經過時：如日期和時間（daytime,端口13），測試連通性（echo,端口7）和生成字符串（chargen,端口19）。

下面顯示了一個打開的連接，被連接的路由器上打開了chargen服務：

Router#telnet 192.168.1.254 chargen

要在路由器上關閉這些服務，使用下面的配置：

Router（config）#no service tcp-small-servers   Router（config）#no service udp-small-servers
關閉了這些服務之后，用下面方法進行測試，如：

Router（config）#telnet 192.168.1.254 daytime

cisco路由器—Finger

Finger協議（端口79）允許網絡上的用戶獲得當前正在使用特定路由選擇設備的用戶列表，顯示的信息包括系統中運行的進程、鏈路號、連接名、閑置時間和終端位置。通過show user命令來提供的。

Finger是一個檢測誰登錄到一臺主機的UNIX程序，而不用親自登錄到設備來查看。

下面顯示了一個驗證finger服務被打開和如何關閉的例子：

Router#telnet 192.168.1.254 finger（connect 192.168.1.254 finger）   Router（config）#no ip finger   Router（config）#no service finger
當對路由器執行一個finger操作時，路由器以show users命令的輸出來作為響應。要阻止響應，使用no ip finger命令，將關閉finger服務。在較老的版本中，使用no service finger命令。在較新版本中，兩個命令都適用。

cisco路由器—IdentD

IP鑒別支持對某個TCP端口身份的查詢。能夠報告一個發起TCP連接的客戶端身份，以及響應該連接的主機的身份。

IdentD允許遠程設備為了識別目的查詢一個TCP端口。是一個不安全的協議，旨在幫助識別一個想要連接的設備。一個設備發送請求到Ident端口（TCP 113），目的設備用其身份信息作為響應，如主機和設備名。

如果支持IP鑒別，攻擊者就能夠連接到主機的一個TCP端口上，發布一個簡單的字符串以請求信息，得到一個返回的簡單字符串響應。

要關閉IdentD服務，使用下面的命令：

Router（config）#no ip identd

可以通過Telnet到設備的113端口來進行測試。

cisco路由器—IP源路由

應該在所有的路由器上關閉，包括邊界路由器。可以使用下面的命令：

Router（config）#no ip source-route

禁止對帶有源路由選項的IP數據包的轉發。

#p#副標題#e#

cisco路由器—FTP和TFTP

路由器可以用作FTP服務器和TFTP服務器，可以將映像從一臺路由器復制到另一臺。建議不要使用這個功能，因為FTP和TFTP都是不安全的協議。

默認地，FTP服務器在路由器上是關閉的，然而，為了安全起見，仍然建議在路由器上執行以下命令：Router（config）#no ftp-server write-enable （12.3版本開始）Router（config）#no ftp-server enable可以通過使用一個FTP客戶端從PC進行測試，嘗試建立到路由器的連接。

cisco路由器—HTTP

測試方法可以使用一個Web瀏覽器嘗試訪問路由器。還可以從路由器的命令提示符下，使用下面的命令來進行測試：

Router#telnet 192.168.1.254 80   Router#telnet 192.168.1.254 443 要關閉以上兩個服務以及驗證，執行以下的步驟：

Router（config）#no ip http server   Router（config）#no ip http secure-server   Router#telnet 192.168.1.254 80   Router#telnet 192.168.1.254 443 Cisco安全設備管理器（Security Device Manager,SDM）用HTTP訪問路由器，如果要用SDM來管理路由器，就不能關閉HTTP服務。

如果選擇用HTTP做管理，應該用ip http access-class命令來限制對IP地址的訪問。此外，也應該用ip http authentication命令來配置認證。對于交互式登錄，HTTP認證最好的選擇是使用一個TACACS+或RADIUS服務器，這可以避免將enable口令用作HTTP口令。

SNMP可以用來遠程監控和管理Cisco設備。然而，SNMP存在很多安全問題，特別是SNMP v1和v2中。要關閉SNMP服務，需要完成以下三件事：

1.從路由器配置中刪除默認的團體字符串；

2.關閉SNMP陷阱和系統關機特征；

3.關閉SNMP服務。

要查看是否配置了SNMP命令，執行show running-config命令。

下面顯示了用來完全關閉SNMP的配置：

Router（config）#no snmp-server community public RORouter（config）#no snmp-server community private RWRouter（config）#no snmp-server enable trapsRouter（config）#no snmp-server system-shutdownRouter（config）#no snmp-server trap-authRouter（config）#no snmp-server 前兩個命令刪除了只讀和讀寫團體字符串（團體字符串可能不一樣）。接下來三個命令關閉SNMP陷阱、系統關機和通過SNMP的認證陷阱。最后在路由器上關閉SNMP服務。關閉SNMP服務之后，使用show snmp命令驗證。

缺省情況下，Cisco路由器DNS服務會向255.255.255.255廣播地址發送名字查詢。應該避免使用這個廣播地址，因為攻擊者可能會借機偽裝成一個DNS服務器。

如果路由器使用DNS來解析名稱，會在配置中看到類似的命令：

Router（config）#hostname santa   Router（config）#ip domain-name claus.gov   Router（config）#ip name-server 200.1.1.1 202.1.1.1   Router（config）#ip domain-lookup 可以使用show hosts命令來查看已經解析的名稱。因為DNS沒有固有的安全機制，易受到會話攻擊，在目的DNS服務器響應之前，黑客先發送一個偽造的回復。如果路由器得到兩個回復，通常忽略第二個回復。

解決這個問題，要么確保路由器有一個到DNS服務器的安全路徑，要么不要使用DNS,而使用手動解析。使用手動解析，可以關閉DNS,然后使用ip host命令靜態定義主機名。如果想阻止路由器產生DNS查詢，要么配置一個具體的DNS服務器（ip name-server），要么將這些查詢作為本地廣播（當DNS服務器沒有被配置時），使用下面的配置：

Router#telnetwww.quizware.com80 （測試）  

Router（config）#no ip domain-lookup  

Router#telnetwww.cisco.com80

#p#副標題#e#

cisco路由器—BootP

BootP是一個UDP服務，可以用來給一臺無盤工作站指定地址信息，以及在很多其他情況下，在設備上加載操作系統（用它來訪問另一個運行有BOOTP服務的路由器上的IOS拷貝，將IOS下載到BOOTP客戶端路由器上）。

該協議發送一個本地廣播到UDP端口67（和DHCP相同）。要實現這種應用，必須配置一個BootP服務器來指定IP地址信息以及任何被請求的文件。

Cisco路由器能作為一臺BootP服務器，給請求的設備提供閃存中的文件，因為以下3個原因，應該在路由器閃關閉BootP:

不再有使用BootP的真正需求；

BootP沒固有的認證機制。任何人都能從路由器請求文件，無論配置了什么，路由器都將作出回復；

易受DoS攻擊；

默認地，該服務是啟用的。要關閉BootP,使用下面的配置：

Router（config）#no ip bootp server

cisco路由器—DHCP

DHCP允許從服務器獲取所有的IP地址信息，包括IP地址、子網掩碼、域名、DNS服務器地址、WINS服務器地址哈、TFTP服務器地址和其他信息。Cisco路由器既能作為DHCP客戶端，也能作為服務器。

在將Cisco路由器作為邊界路由器時，應該設置該路由器為DHCP客戶端的唯一的情形是，如果是通過DSL和線纜調制解調器連接到ISP,而ISP使用DHCP指定地址信息。否則，決不要將路由器設置為DHCP客戶端。

同樣地，應該設置路由器為一臺DHCP服務器地唯一的情形是，當在一個SOHO環境中使用路由器，在這種小型的網絡中基本上這臺路由器是可以給PC指定地址的唯一設備。如果這樣做，確保在路由器外部接口上過濾UDP端口67,這將阻止來自外部的DHCP和BootP請求。

一般DHCP服務器是默認打開的。使用下面的配置關閉：Router（config）#no service dhcp這阻止路由器成為一臺DHCP服務器或者中繼代理。

 

數據包組合/分拆（packet assembler/disassembler,PAD）用在X.25網絡上。以提供遠程站點間的可靠連接。PAD能給黑客提供有用的功能。假設黑客能獲得直接連接在路由器上的設備的控制權，而如果路由器在運行PAD服務，它將接受任何PAD連接。要關閉這個服務，使用下面的命令：Router（config）#no service pad

cisco路由器—配置自動加載

Cisco路由器啟動時，在出現CLI提示符之前，將經歷幾個測試階段、發現Cisco IOS和配置文件。路由器啟動時，通常會經過以下5個步驟：*加載并執行POST,發現ROM,測試硬件組件，如閃存和接口；*加載并執行引導自舉程序；*引導自舉程序發現并加載Cisco IOS映像文件。這些映像文件可以來自閃存、TFTP服務器或者閃存；*加載了Cisco IOS之后，發現并執行一個配置文件：配置文件儲存在NVRAM中，但如果NVRAM是空的，系統配置對話框開始，或者路由器使用TFTP來獲取一個配置文件；*給用戶CLI EXEC提示符。

在發現一個Cisco IOS文件時，假定在NVRAM中沒有boot system命令，路由器首先在閃存中尋找有效的Cisco IOS映像文件。如果閃存中沒有IOS映像文件，路由器執行TFTP啟動，或者網絡啟動；發送本地廣播請求從TFTP服務器上獲取操作系統文件。如果這個過程也失敗了，路由器從內存中加載IOS映像文件。

因為啟動過程中用到TFTP,而對加載過程沒有安全保護。所以，不應該允許路由器使用該功能。要阻止該功能，使用下面的配置：

Router（config）#no boot network remote-url-ftp:   [[[//[username:[:password]@]location]/directory]/filename]-rcp:   [[[//[username@]/location]/directory]/filename]-tftp:   [[[//location]/directory]/filename 加載了IOS映像之后，開始發現一個配置文件。如果在NVRAM中沒有配置文件，路由器會使用系統配置對話框來建立配置文件，或使用網路配置選項：使用TFTP廣播來發現配置文件。所以，應該使用以下的命令關閉該特性：

Router（config）#no service config

cisco路由器—關閉無根據ARP

大多數Cisco路由器（缺省情況下）都會向外發送無根據的ARP消息，無論客戶端何時連接并基于PPP連接協商一個IP地址。ARP毒害攻擊主要利用的就是這種ARP消息。即使客戶端從一個本地地址池收到地址，Cisco路由器也會生成一個無根據的ARP傳送。

禁止無根據ARP傳送，使用下面的命令：Router（config）#no ip gratuitous-arps 十五、關閉IP無類別路由選擇服務,路由器可能會收到一些發往一個沒有網絡缺省路由的子網的數據包，如果啟用了IP無類別服務時，會將這些數據包轉發給最有可能路由的超網。要關閉IP無類別路由選擇，在全局配置模式下使用no ip classless命令。