在最近的一次安全警報中，Cisco Systems警告說Cisco IOS易于受到一種惡意攻擊(請參考Cisco關于危急IOS漏洞的警告)。通過利用這個漏洞，黑客能夠在思科設備上執行惡意代碼或者發動一次DDOS攻擊(拒絕服務攻擊)。由于互聯網上的路由器至少有70%的路由器是思科路由器，這個漏洞格外引人關注。為了保護你的路由器的基礎結構，你能夠做些什么呢?本文將討論這個問題。

哪些產品受到影響?

只有擁有統一通信管理器(Cisco Unified Communications Manager)和支持語音服務的路由器會受到影響。如果你的路由器符合這兩個條件之一，你就應該采取行動了。如果你不能確定你的路由器是否擁有語音服務(會話初始化協議(SIP))，就應該檢查一下。

哪些特定IOS的版本會受到影響?

只有某些版本的IOS 12.3和所有的IOS 12.4受到這個漏洞的影響，并且只有你激活SIP協議時才會發生。要查看你正在運行的IOS版本，只需要鍵入show version命令。

我如何知道我是否啟用了IOS協議?

注意下面一點是非常重要的：即使SIP協議沒有進行特別的配置，Cisco IOS也易受到攻擊。這時所需要的只是路由器正在監聽SIP通信。

執行如下的三個命令就可以查看你的路由器是否正在監聽進入的SIP請求：

以下是引用片段：

show ip sockets 

show udp 

show tcp brief all

注意：“show ip sockets”命令在較新的IOS版本上可能無法運行。"show tcp brief all"命令可能不會返回任何輸出。下面就是筆者的路由器的一個輸出示例：

以下是引用片段：

Router# show ip sockets 

^ 

% Invalid input detected at '^' marker. 

Router# show udp 

Proto Remote Port Local Port In Out Stat TTY OutputIF 

17 --listen-- --any-- 68 0 0 1 0 

17 --listen-- --any-- 2887 0 0 11 0 

17 0.0.0.0 0 192.168.1.100 67 0 0 2211 0 

Router# show tcp brief all 

Router#

你正在尋找的是下面這些協議和端口號的任何進入的通路(監聽者)：TCP 5060, 5061, 1720, 11720 and UDP 5060, 5061, 2427, 2517, 16384 – 32767

你從筆者的路由器的輸出結果中可以看出，筆者并沒有任何這樣的端口。如果你有一個這樣的通路(監聽者)，你的輸出結果將看起來會是如下的樣子：

以下是引用片段：

Router# show ip sockets 

Proto Remote Port Local Port In Out Stat TTY OutputIF 

17 0.0.0.0 0 --any-- 5060 0 0 211 0 

Router# show tcp brief all 

TCB Local Address Foreign Address (state) 

835F9624 *.5060 *.* LISTEN

請注意這兩種情況中的端口號5060。