cisco路由器,请师傅上门不怕坑了
应用情况,公司总部分总互连,都有公网IP
R1路由器上连通性配置
R1(config)#interface e0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface e1
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R2路由器上连通性配置
R2(config)#interface e0
R2(config-if)#ip address 1.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#interface e1
R2(config-if)#ip address 2.2.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
R1路由器IpSec配置
R1(config)#crypto isakmp enable (optional)默认启用
R1路由器IpSec isakmp 配置(阶段一的策略)
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-shared
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1路由器Pre-Share认证配置
R1(config)#crypto isakmp key cisco address 10.1.1.2
R1路由器IpSec变换集配置(阶段二的策略)
R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R1 (cfg-crypto-trans)#mode tunnel
R1路由器加密图的配置
R1(config)#crypto map cisco10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address 101
R1路由器定义感兴趣流量
R1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1路由器加密图绑定到接口
R1(config)#interface e0
R1(config-if)#crypto map cisco
4、R2路由器IpSec配置
R2(config)#crypto isakmp enable (optional)默认启用
R2路由器IpSec isakmp 配置(阶段一的策略)
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#group 2
R2路由器Pre-Share认证配置
R2(config)#crypto isakmp key cisco address 10.1.1.1
R2路由器IpSec变换集配置(阶段二的策略)
R2(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#mode tunnel
R2路由器加密图的配置
R2(config)#crypto map cisco 10 ipsec-isakmp
R2(config-crypto-map)#set peer 10.1.1.1
R2(config-crypto-map)#set transform-set cisco
R2(config-crypto-map)#match address 101
R2路由器定义感兴趣流量
R2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
R2路由器加密图绑定到接口
R2(config)#interface e0
R2(config-if)#crypto map cisco我是如何从3亿IP中找到CISCO后门路由器的
接到某单位通知让查找中国具有SYNful Knock后门的CISCO路由器,按照曼迪安特分析的报告称中国已经发现3台具有SYNful Knock后门的路由器,如何快速从全国3亿IP地址中快速查找出3个IP地址难度还是十分的大啊,而我经过查找发现中国已经有4个IP被植入了后门,现将检测过程分享给大家。
一、获取IP地址
为保证中国IP的全面性,从apnic重新获取亚洲区域所分配到的IP,过滤出CN的IP,结果如下。apnic文件中每行为一个IP地址段,以"|"作为分隔,第四个字段为IP起始地址,第五个字段为IP地址数量。
二、IP地址格式调整
将IP地址格式调整成zmap的CIDR格式,如下:
三、使用zmap检测80端口开放ip
命令:zmap -w china_ip_cidr.txt -p 80 -o 80.txt
检测出5184575个开放80端口的IP地址。
四、POC制作思路
互联网搜索发现还没有此后门的POC(现在CISCO已经发布自己的POC,后期我的POC也参考CISCO的POC做了适当调整),没办法自给自足仔细研读了曼迪安特的报告,经过多次改版最终POC思路如下:
(一)伪造SYN报文,使seq和ack_seq之间的差为0xC123D大批量发送给目标主机。
(二)单独监听收到的网络报文,将seq和ack_seq之间的差为0xC123E、urgent flag未设置、urgent pointer=0x0001、hard-coded TCP options=“02 04 05 b4 01 01 04 02 01 03 03 05”的网络报文过滤出来保存。
五、POC分析如下:
(一)SYN报文部分
修改SYN seq和ack_seq差值,使其差值为0xC123D,并直接发送SYN,不等待接收SYN ACK报文,由网络监听部分进行SYN ACK报文的拦截,由于不接收SYN ACK报文,发送速度提升了N倍。考虑到发送完关闭过快在每个报文发送完毕后增加了0.1秒的等待。
(二)网络监听部分
此部分借鉴了CISCO发布的检测脚本,但是CISCO检测脚本检测性能较差,我将检测POC分成了2部分,将SYN报文发送部分POC放入检测框架批量执行,网络监听部分单独执行分析SYN ACK的报文特征符合性,代码如下:
五、批量执行
(一)将待检测IP入库,祭出我编写的神器pwscan大规模检测框架,设定进程数1000,启动检测框架如下:
框架启动了1000个扫描引擎。
奔跑吧小驴子,很快检测完成,如下:
六、检测结果
对全网检测5遍后结果如下(不好意思IP要隐藏:) ):
七、漏洞验证
单独进行漏洞验证如下:
(一)脚本验证
(二)登陆验证
弱口令成功登陆,看到了曼迪安特说的"#"号
执行show platform查看文件被修改情况,找到曼迪安特说的RW标致
八、结论
成功找到4个中国具有SYNful Knock后门的CISCO路由器。
思科路由器恶意后门惊现全球19个国家甚至还有运营商受威胁
国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前19个国家至少79台设备受到安全威胁影响,其中还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门。
这次的调查结果来自一个计算机科学家团队,他们挖掘了整个IPv4地址空间中受影响的设备。根据Ars本周二的报道,在收到一系列非正常不兼容的网络数据包,以及硬编码密码之后,所谓的SYNful Knock路由器植入就会激活。通过仅发送序列错乱的TCP包,而非密码至每个地址,监控回应,研究人员就能检测到设备是否受到了该后门的影响。
安全公司FireEye本周二首度报道了SYNful Knock的爆发,这种植入程序在尺寸上和正常的思科路由器映像完全相同,在路由器重启之后每次都会加载。攻击者能够利用它锁定特定目标。FireEye已经在印度、墨西哥、菲律宾、乌克兰的14台服务器上发现了这种植入程序。这对整个安全界来说都是重大事件,这也就意味着这种攻击处在激活状态。最新的研究显示,其扩张范围已经相当广泛,美国、加拿大、英国、德国和中国均已存在。
研究人员表示:“这种植入攻击可以追踪,我们通过修改ZMap令其发出特定的TCP SYN包,在无需利用该漏洞的情况下能够检测受影响的服务器。我们在2015年9月15日完成了四次公众IPv4地址空间的扫描,发现79台设备存在SYNful Knock植入。这些路由器来自19个不同的国家。我们注意到非洲和亚洲的不少路由器,美国来自一家东海岸的运营商的25台设备,以及德国和黎巴嫩属于一家卫星服务提供商(提供覆盖非洲的服务)的部分设备受到影响。”
上面这张图给出了大致上存在本次安全威胁的分部情况,FireEye的研究人员已经发出了一篇详细的博文,阐述如何检测和移除SYNful Knock安全威胁。
目前已经很清楚,SYNful Knock是经过专业开发、完全利用了后门的设备,能够影响诸多核心设备。安全研究人员正在寻找背后攻击及其运作方式的线索。
FireEye本周二报道称,没有证据表明SYNful Knock正在利用任何思科设备的漏洞,FireEye高层认为,背后的攻击者可能受到了国家支持,这些攻击者想要利用已知密码(有些是出厂默认的,有些是通过一些手段获取的)的路由器。研究人员表示,如果其他设备制造商造的网络设备也受到了类似后门的感染,那也算不上奇怪。不过目前还没有发现其他品牌的设备受到影响,但研究人员还在进行进一步的互联网检测。
思科路由器遭攻击:4国受影响
9月15日消息,据国外媒体报道,网络安全专家表示,他们发现了先前未知的对路由器的直接攻击方式,该攻击能引导流量绕过网络设备,从而使黑客能够在不被现有网络安全防御系统发现的情况下收集大量数据。
美国网络安全研究公司FireEye旗下计算机取证部门Mandiant今天称,这些攻击能替换思科网络设备所使用的操作系统。思科是全球最大的路由器生产商。
到目前为止,Mandiant发现14起路由器被植入病毒软件的实例,发生在印度、墨西哥、菲律宾和乌克兰等四个国家。
另外,思科证实,该公司已向客户发出警告,其操作系统软件平台可能遭受这些攻击。
该公司表示,它已与Mandiant合作,为客户开发能检测这类攻击的方法,而一旦发现受到攻击,将要求他们对控制他们路由器的软件重建映像。
FireEye的首席执行官戴夫·德瓦尔特(Dave DeWalt)表示:“谁控制了路由器,谁就拥有使用该路由器的企业和政府机构的数据。”
企业和政府机构通常使用防火墙、防病毒软件等安全工具来保障数据流量的安全,但路由器运行在这类安全工具之外。
FireEye表示,根据市场研究公司IDC的数据,全球每年在网络安全工具上的投入高达800亿美元,但实际上这些网络安全工具对这种形式的攻击毫无防范能力。
该恶意程序已经被冠名为“SYNful”,以描述被植入的病毒软件具有从一个路由器传播至另一个路由器的特征。
德瓦尔特指出,从被感染计算机的路由器日志显示,这类攻击已经发生了至少一年的时间。
思科表示,SYNful没有利用其软件的任何漏洞。相反,它在攻击中从受害者那里盗走了有效的网络管理凭证,或获得了对路由器物理访,因此研究者发现了那些被感染的后门。
本周二,当FireEye第一次曝出SYNful Knock的活动时,震惊了整个安全世界。植入的后门完全与合法思科路由器映像大小相同,同时在每次路由器重启时都会加载。它可支持高达100个模块,攻击者能够根据特定目标加载不同功能的模块。
在首次披露中,FireEye发现它在印度、墨西哥、菲律宾和乌克兰的服务器上出现,共计14台。这一惊人发现说明了一直以来偏向理论化的攻击形式正逐步被积极运用。
而最新的研究结果显示受害范围其实远远不止四国,还包括美国、加拿大、英国、德国以及中国在内的19个国家。
研究人员写道:
这一后门可通过指纹识别,我们便使用修改过的ZMap扫描工具发送特制的TCP SYN数据包,扫描了所有公共IPv4地址。在9月15日扫描的4个公共IPv4地址空间,发现了79台主机存在与SYNful Knock后门相符的行为。这些路由器分布于19个国家的一系列机构中。
值得注意的是,相比较IP地址的分配,非洲和亚洲植入后门的路由器数量惊人。而25台受影响的美国路由器,都属于同一个东海岸的网络服务器供应商。而受影响的德国和黎巴嫩路由器供应商,同时也向非洲提供服务。
如何发现SYNful Knock后门
上图便概括了本次研究结果;FireEye研究人员在博客中详细解释了如何检测SNYful Knock后门。
研究人员使用网络扫描工具Zmap进行了四次扫描。配置之后,便开始向每个地址发送设置为0xC123D和0的数据包,等待哪些响应序列号设置是0,紧急标志并没有设置,紧急指针设置为0x0001。
“我们没有用一个ACK数据包进行响应,而是发送RST。这并非利用漏洞进行登录或者完成握手。这只是为了让我们找出受感染的路由器。因为没有植入后门的路由器并未设置紧急指针,并且只有1/232的概率选择0作为序列号。”
目前可以确定的是SYNful Knock是一个经过专业开发并且功能完备的后门,可以影响的设备远超FireEye此前的声称的数量。尽管受影响的设备中肯定有用于科学研究的蜜罐,用于帮助研究者寻找真正的幕后黑手以及发现后门是如何在路由器背后进行运作的。
但是79台设备都是诱饵的话,则似乎不太可能。目前FireEye没有对这种可能性做出回应。
目前尚没有证据显示SYNful Knock后门利用了思科路由器中任何漏洞,FireEye高管表示这个后门背后的攻击者——可能是有政府背景——似乎是利用了厂商设置的路由器默认密码或者某种其他已知的攻击方式。
研究者说,如果其他制造商的网络设备感染了相似后门,一点都不奇怪。尽管截至目前,没有证据表明来自其他制造商的设备可以感染这一后门,但是随着研究人员扫描工作的持续进行,获得支持这一理论的数据也只是时间问题。
解决方法
如果确定设备受到感染,最有效的缓解方法就是使用思科的干净下载重新映像路由器。确定新映像的哈希值匹配,然后加固设备防止未来的攻击。
一定要更新设置、不要采用默认的,在确定路由器没有受感染之后,也要关注其他网络的安全。如果路由器没有默认凭证,那么感染便是已经发生了,下一步需要做的便是影响评估。
cisco路由器限制速度的方法
1、设置ACL
access-list 102 permit ip host 192.168.10.2 any
access-list 102 permit ip any host 192.168.10.2
access-list 103 permit ip host 192.168.10.3 any
access-list 103 permit ip any host 192.168.10.3
2、定义类
class-map match-all 102
match access-group 102
class-map match-all 103
match access-group 103
3、将类加入策略中
policy-map xiansu
class 102
police 1024000 128000 conform-action transmit exceed-action drop
class 103
police 1024000 128000 conform-action transmit exceed-action drop
4、将策略加入端口中
interface FastEthernet0/0
service-policy input xiansutest
service-policy output xiansutest
针对某个网段进行限速(限定的是总带宽)
(1)设置ACL
access-list 110 permit ip 192.168.10.0 0.0.0.255 any
access-list 102 permit ip any 192.168.10.0 0.0.0.255
(2)定义类
class-map match-all 110
match access-group 110
(3)设置策略
policy-map xiansu110
class 110
police 10240000 1280000 conform-action transmit exceed-action drop
宽带中国!关注思科路由器替代!
期盼已久的FDD牌照有望在本周发放,随着FDD牌照的发放,中国联通、中国电信的4G 投资将全面开闸! 加上近期政府禁止采购思科设备,用国产替代的消息。看好具备这些交叉题材的低位低价个股:002369卓翼科技
在最新发布的《投资者关系活动记录表》中表示,公司在对华为、中兴、阿尔卡特贝尔、联想等老客户深耕细作的同时,进一步拓展新客户、新业务,与紫米、华米、奇虎360、小米,华为,果壳(魔锤)、三星、格力等知名企业在新兴产品领域开展了合作,新拓展的产品涵盖了移动电源、小米智能手环、随身 WIFI 、智能路由器、无线模块等等。
最关键的是对比长城电脑,波导股份的创新高走势。卓翼科技现在仍是低价低位股!
卓翼科技主要以ODM/EMS模式,为国内外的品牌渠道商提供网络通讯类和消费电子类产品的合约制造服务,主要客户包括华为等。2014年3月,卓翼科技公告称进入小米供应链,公司旗下全资子公司天津卓达与紫米电子(小米公司投资)签署《委托生产加工框架协议》,以EMS模式为紫米电子生产移动电源等电子产品。9月,公司又收获小米智能手环订单。目前,公司为小米代工的移动电源和智能手环出货量保持稳步上升,供应比例均在50%左右。鉴于小米产品链的丰富,公司有望陆续收获小米其他产品的订单,来自小米的营收贡献还有很大提升空间。
在业内,卓翼科技由于业务类型与富士康极为相似,被称为“小富士康”。公司董秘魏代英介绍称,相比于富士康,公司对客户需求的响应能力更快,因此合作客户的范围也非常广泛。目前与卓翼科技合作的客户,除排名居前的华为、Medion(德国一家消费电子公司)、上海贝尔、小米、中兴外,还有360、联想、三星、格力、海尔、OPPO等。其中,公司与华为合作的营业收入占比超过30%。
在此次走进上市公司活动中,魏代英表示,公司正加大对平板电脑、智能手机、智能穿戴 设备、智能家居 等新兴产品的研发投入,未来将继续加大在这一新兴领域的布局。
卓翼科技
您好!公司已经具备智能穿戴 方面的技术,并具有新产品精密制造能力。公司现与华米信息就小米智能手环展开合作,并已推广上市,标志着公司的智能穿戴技术逐步成熟并形成产品,正式步入了智能可穿戴产品领域。未来,公司将持续加强自主研发实力,广泛开拓新客户、新业务,不断将行业新兴技术及应用技术快速产品化,及时开发出适合市场需求的产品。谢谢!
卖出100万枚小米手环的华米科技现已估值3亿美元,明年独立进军美国市场!
长城电脑代表国产电脑替代,波导是手机替代.请大家看看他们股票创新高的走势。
而卓翼科技,现在还是低位低价股,这次的路由器替代还没开始炒作。所以股票的成长空间是非常大的!
德国提出的"工业4.0 "概念,让中国企业摩拳擦掌,纷纷涉足智能制造,有"小富士康"之称的卓翼科技( 002369 )就是此间代表.在日前举办的"践行中国梦·走进上市公司"活动中,卓翼科技向投资者展示了公司自制的自动化智能生产线.
"这些设备全是我们自主设计制造的. "卓翼科技董事长,总经理夏传武在向投资者介绍深圳厂区生产线时不无自豪地说, "公司总部厂区已有部分生产线完全能够满足定制化,分散化,小批量生产的需求,而且完全自动化,无需人工操作,甚至有些生产设备还能联网完成工作.可以说,已经很接近德国提出的‘工业4.0‘概念."
"工业4. 0"是德国政府《高技术战略2020》确定的十大未来项目之一,并已上升为国家战略,旨在支持工业领域新一代革命性技术的研发与创新.今年10月,中德两国签署的《中德合作行动纲要》中明确,双方将在"工业4.0"方面加强合作,由此拉开了中国企业积极探讨"工业4.0"的序幕.
夏传武认为,与"工业3. 0"的流水线只能大批量生产不同,"工业4.0"流水线可实现小批量,多批次生产.对于卓翼科技这样的ODM/EMS(原始设计制造商/电子制造服务商)模式制造业企业而言,建设符合"工业4.0"概念的生产线尤为重要."现在消费者强调个性化,尤其智能手机领域,我们的客户产品线非常丰富,但每一款产品的销量未必都非常大,这就要求我们的生产线能够快速满足这一类小批量定制化的订单."
据介绍,卓翼科技主要以ODM/EMS模式,为国内外的品牌渠道商提供网络通讯类和消费电子类产品的合约制造服务,主要客户包括华为等. 2014年3月,卓翼科技公告称进入小米供应链,公司旗下全资子公司天津卓达与紫米电子(小米公司投资)签署《委托生产加工框架协议》,以EMS模式为紫米电子生产移动电源等电子产品.9月,公司又收获小米智能手环订单. 目前,公司为小米代工的移动电源和智能手环出货量保持稳步上升,供应比例均在50%左右. 鉴于小米产品链的丰富,公司有望陆续收获小米其他产品的订单,来自小米的营收贡献还有很大提升空间.
在业内,卓翼科技由于业务类型与富士康极为相似,被称为"小富士康".公司董秘魏代英介绍称,相比于富士康,公司对客户需求的响应能力更快,因此合作客户的范围也非常广泛. 目前与卓翼科技合作的客户,除排名居前的华为,Medion(德国一家消费电子公司),上海贝尔,小米,中兴外,还有360,联想,三星,格力,海尔,OPPO等.其中,公司与华为合作的营业收入占比超过30%.了
