思科路由器连接服务器

本篇文章给大家谈谈思科路由器哪些服务被利用，以及思科路由器连接服务器对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

1、思科路由器各种模式分别可以做什么?

2、cisco路由器提供一些基于tcp和udp协议的小服务，使用哪些命令可以关闭这些小服务

3、思科路由show processes cpu看不出来哪些进程占用CPU高,但CPU使用率却是99%，请高手指点。

思科路由器各种模式分别可以做什么?

第1级：用户模式。  以终端或Telnet方式进入路由器时系统会提示用户输入口令，输入口令后便进入了第1级，即用户模式级别。此时，系统提示符为“”。如果路由器名称为cisco2600，则提示符为“cisco2600”。在这一级别，用户只能查看路由器的一些基本状态，不能进行设置。 

第2级：特权模式。  在用户模式下先输入“enable”，再输入相应的口令，进入第2级特权模式。特权模式的系统提示符是“#”，

如下所示：  Cisco2600enable  Password:*******  Cisco2600#  在这一级别上，用户可以使用show和debug命令进行配置检查。这时还不能进行路由器配置的修改，如果要修改路由器配置，还必须进入第3级。 

第3级: 配置模式。  这种模式下，允许用户真正修改路由器的配置。进入第3级的方法是在特权模式中输入命令“config terminal”，相应提示符为“(config)#”。

如下所示：  Cisco2600#config terminal  Cisco2600(config)#  此时，用户才能真正修改路由器的配置，比如配置路由器的静态路由表，详细的配置命令需要参考路由器配置文档。如果想配置具体端口，还需要进入第4级。

第4级: 端口配置模式。  路由器中有各种端口，如10/100Mbps以太网端口和同步端口等。要对这些端口进行配置，需要进入端口配置模式。

比如，现在想对以太网端口0进行配置（路由器上的端口都有编号，请参考路由器随机文档），需要使用命令interface ethernet0，如下所示:  Cisco2600(config)# interface ethernet0  Cisco2600(config-int)# 。

扩展资料：

正确配置五大口令：

首先，要知道思科的IOS拥有五大口令，分别是控制台口令、AUX口令、VTY口令、Enable

password口令、Enable secret口令。下面分别分析之。

控制台口令

如果用户没有在路由器的控制台上设置口令，其他用户就可以访问用户模式，并且，如果没有设置

其它思科路由器模式的口令，别人也就可以轻松进入其它思科路由器模式。控制台端口是用户最初

开始设置新路由器的地方。

在路由器的控制台端口上设置口令极为重要，因为这样可以防止其它人

连接到路由器并访问用户模式。因为每一个路由器仅有一个控制台端口，所以你可以在全局配置中

使用line console 0命令，然后再使用login和password命令来完成设置。

这里password命令用于

设置恰当的口令，如下所示：

Enable password-启用口令

enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路

由器的不同安全级别上切换（共有0-15等16个安全级别）。

不过，它最常用于从思科路由器模式

（级别1）切换到特权模式（级别15）。事实上，如果你处于用户模式，而用户键入了enable命

令，此命令将假定你进入特权模式。

如果要设置一个口令用于控制用户从用户模式转向特权模式，

就要进入全局配置模式并使用enable password命令，Enable password命令不好的一

面是它容易被其他人猜测出来，这也正是我们需要使用enabel secret的原因。

Enable secret-启用加密

启用加密口令(enable secret password)与enable password 的功能是相同的。但通过使

用“enable secret”，口令就以一种更加强健的加密形式被存储下来。

Router(config)# enable

secret SecR3t!enable，在很多情况下，许多网络瘫痪是由于缺乏口令安全造成的。因此，作为管理

员一定要保障正确设置其交换机和路由器的口令。

cisco路由器提供一些基于tcp和udp协议的小服务，使用哪些命令可以关闭这些小服务

cisco关闭一些不常用服务

一、Cisco发现协议

CDP是一个Cisco专用协议，运行在所有Cisco产品的第二层，用来和其他直接相连的Cisco设备共享基本的设备信息。独立于介质和协议。

黑客再勘测攻击中使用CDP信息，这种可能性是比较小的。因为必须在相同的广播域才能查看CDP组播帧。所以，建议在边界路由器上关闭CDP，或至少在连接到公共网络的接口上关闭CDP.

缺省情况下是启用的。全局关闭CDP，使用no cdp run命令，关闭之后，应该使用show cdp验证CDP是否已被关闭。

二、TCP和UDP低端口服务

TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都已经过时：如日期和时间(daytime，端口13)，测试连通性(echo，端口7)和生成字符串(chargen，端口19)。

下面显示了一个打开的连接，被连接的路由器上打开了chargen服务：Router#telnet 192.168.1.254 chargen

要在路由器上关闭这些服务，使用下面的配置：Router(config)#no service tcp-small-serversRouter(config)#no service udp-small-servers

关闭了这些服务之后，用下面方法进行测试，如：Router(config)#telnet 192.168.1.254 daytime

三、Finger

Finger协议(端口79)允许网络上的用户获得当前正在使用特定路由选择设备的用户列表，显示的信息包括系统中运行的进程、链路号、连接名、闲置时间和终端位置。通过show user命令来提供的。

Finger是一个检测谁登录到一台主机的UNIX程序，而不用亲自登录到设备来查看。

下面显示了一个验证finger服务被打开和如何关闭的例子：Router#telnet 192.168.1.254 finger

(connect 192.168.1.254 finger)Router(config)#no ip fingerRouter(config)#no service finger

当对路由器执行一个finger操作时，路由器以show users命令的输出来作为响应。要阻止响应，使用no ip finger命令，将关闭finger服务。在较老的版本中，使用no service finger命令。在较新版本中，两个命令都适用。

四、IdentD

IP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份，以及响应该连接的主机的身份。

IdentD允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议，旨在帮助识别一个想要连接的设备。一个设备发送请求到Ident端口(TCP 113)，目的设备用其身份信息作为响应，如主机和设备名。

如果支持IP鉴别，攻击者就能够连接到主机的一个TCP端口上，发布一个简单的字符串以请求信息，得到一个返回的简单字符串响应。

要关闭IdentD服务，使用下面的命令：Router(config)#no ip identd

可以通过Telnet到设备的113端口来进行测试

五、IP源路由

应该在所有的路由器上关闭，包括边界路由器。可以使用下面的命令：Router(config)#no ip source-route禁止对带有源路由选项的IP数据包的转发。

六、FTP和TFTP

路由器可以用作FTP服务器和TFTP服务器，可以将映像从一台路由器复制到另一台。建议不要使用这个功能，因为FTP和TFTP都是不安全的协议。

默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍然建议在路由器上执行以下命令：Router(config)#no ftp-server write-enable (12.3版本开始)Router(config)#no ftp-server enable

可以通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的连接。

七、HTTP

测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下，使用下面的命令来进行测试：Router#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

要关闭以上两个服务以及验证，执行以下的步骤：Router(config)#no ip http serverRouter(config)#no ip http secure-serverRouter#telnet 192.168.1.254 80Router#telnet 192.168.1.254 443

Cisco安全设备管理器(Security Device Manager，SDM)用HTTP访问路由器，如果要用SDM来管理路由器，就不能关闭HTTP服务。

如果选择用HTTP做管理，应该用ip http access-class命令来限制对IP地址的访问。此外，也应该用ip http authentication命令来配置认证。对于交互式登录，HTTP认证最好的选择是使用一个TACACS+或RADIUS服务器，这可以避免将enable口令用作HTTP口令。

八、SNMP

SNMP可以用来远程监控和管理Cisco设备。然而，SNMP存在很多安全问题，特别是SNMP v1和v2中。要关闭SNMP服务，需要完成以下三件事：

*从路由器配置中删除默认的团体字符串;

*关闭SNMP陷阱和系统关机特征;

*关闭SNMP服务。

要查看是否配置了SNMP命令，执行show running-config命令。

下面显示了用来完全关闭SNMP的配置：Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWRouter(config)#no snmp-server enable trapsRouter(config)#no snmp-server system-shutdownRouter(config)#no snmp-server trap-authRouter(config)#no snmp-server

前两个命令删除了只读和读写团体字符串(团体字符串可能不一样)。接下来三个命令关闭SNMP陷阱、系统关机和通过SNMP的认证陷阱。最后在路由器上关闭SNMP服务。关闭SNMP服务之后，使用show snmp命令验证

九、域名解析

缺省情况下，Cisco路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址，因为攻击者可能会借机伪装成一个DNS服务器。

如果路由器使用DNS来解析名称，会在配置中看到类似的命令：Router(config)#hostname santa

Router(config)#ip domain-name claus.gov

Router(config)#ip name-server 200.1.1.1 202.1.1.1

Router(config)#ip domain-lookup

可以使用show hosts命令来查看已经解析的名称。

因为DNS没有固有的安全机制，易受到会话攻击，在目的DNS服务器响应之前，黑客先发送一个伪造的回复。如果路由器得到两个回复，通常忽略第二个回复。

解决这个问题，要么确保路由器有一个到DNS服务器的安全路径，要么不要使用DNS，而使用手动解析。使用手动解析，可以关闭DNS，然后使用ip host命令静态定义主机名。如果想阻止路由器产生DNS查询，要么配置一个具体的DNS服务器(ip name-server)，要么将这些查询作为本地广播(当DNS服务器没有被配置时)，使用下面的配置：Router#telnet (测试)

Router(config)#no ip domain-lookup

Router#telnet

十、BootP

BootP是一个UDP服务，可以用来给一台无盘工作站指定地址信息，以及在很多其他情况下，在设备上加载操作系统(用它来访问另一个运行有BOOTP服务的路由器上的IOS拷贝，将IOS下载到BOOTP客户端路由器上)。

该协议发送一个本地广播到UDP端口67(和DHCP相同)。要实现这种应用，必须配置一个BootP服务器来指定IP地址信息以及任何被请求的文件。

Cisco路由器能作为一台BootP服务器，给请求的设备提供闪存中的文件，因为以下3个原因，应该在路由器闪关闭BootP：*不再有使用BootP的真正需求;*BootP没固有的认证机制。任何人都能从路由器请求文件，无论配置了什么，路由器都将作出回复;*易受DoS攻击。

默认地，该服务是启用的。要关闭BootP，使用下面的配置：Router(config)#no ip bootp server

十一、DHCP

DHCP允许从服务器获取所有的IP地址信息，包括IP地址、子网掩码、域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。Cisco路由器既能作为DHCP客户端，也能作为服务器。

在将Cisco路由器作为边界路由器时，应该设置该路由器为DHCP客户端的唯一的情形是，如果是通过DSL和线缆调制解调器连接到ISP，而ISP使用DHCP指定地址信息。否则，决不要将路由器设置为DHCP客户端。

同样地，应该设置路由器为一台DHCP服务器地唯一的情形是，当在一个SOHO环境中使用路由器，在这种小型的网络中基本上这台路由器是可以给PC指定地址的唯一设备。如果这样做，确保在路由器外部接口上过滤UDP端口67，这将阻止来自外部的DHCP和BootP请求。

一般DHCP服务器是默认打开的。使用下面的配置关闭：Router(config)#no service dhcp这阻止路由器成为一台DHCP服务器或者中继代理

十二、PAD

数据包组合/分拆(packet assembler/disassembler，PAD)用在X.25网络上。以提供远程站点间的可靠连接。

PAD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上的设备的控制权，而如果路由器在运行PAD服务，它将接受任何PAD连接。

要关闭这个服务，使用下面的命令：Router(config)#no service pad

十三、配置自动加载

Cisco路由器启动时，在出现CLI提示符之前，将经历几个测试阶段、发现Cisco IOS和配置文件。路由器启动时，通常会经过以下5个步骤：*加载并执行POST，发现ROM，测试硬件组件，如闪存和接口;*加载并执行引导自举程序;*引导自举程序发现并加载Cisco IOS映像文件。这些映像文件可以来自闪存、TFTP服务器或者闪存;*加载了Cisco IOS之后，发现并执行一个配置文件：配置文件储存在NVRAM中，但如果NVRAM是空的，系统配置对话框开始，或者路由器使用TFTP来获取一个配置文件;*给用户CLI EXEC提示符。

在发现一个Cisco IOS文件时，假定在NVRAM中没有boot system命令，路由器首先在闪存中寻找有效的Cisco IOS映像文件。如果闪存中没有IOS映像文件，路由器执行TFTP启动，或者网络启动;发送本地广播请求从TFTP服务器上获取操作系统文件。如果这个过程也失败了，路由器从内存中加载IOS映像文件。

因为启动过程中用到TFTP，而对加载过程没有安全保护。所以，不应该允许路由器使用该功能。要阻止该功能，使用下面的配置：

Router(config)#no boot network remote-url-ftp：

[[[//[username：[：password]@]location]/directory]/filename]-rcp：

[[[//[username@]/location]/directory]/filename]-tftp：

[[[//location]/directory]/filename

加载了IOS映像之后，开始发现一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配置选项：使用TFTP广播来发现配置文件。所以，应该使用以下的命令关闭该特性：Router(config)#no service config

十四、关闭无根据ARP

大多数Cisco路由器(缺省情况下)都会向外发送无根据的ARP消息，无论客户端何时连接并基于PPP连接协商一个IP地址。ARP毒害攻击主要利用的就是这种ARP消息。

即使客户端从一个本地地址池收到地址，Cisco路由器也会生成一个无根据的ARP传送。

禁止无根据ARP传送，使用下面的命令：Router(config)#no ip gratuitous-arps 十五、关闭IP无类别路由选择服务

路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包，如果启用了IP无类别服务时，会将这些数据包转发给最有可能路由的超网。

要关闭IP无类别路由选择，在全局配置模式下使用no ip classless命令

思科路由show processes cpu看不出来哪些进程占用CPU高,但CPU使用率却是99%，请高手指点。

你的路由可能被攻击了，最好把路由器恢复到出厂设置，在重新设置下，另外就是检查下端口，对端口进行监控，观察一段时间看下

你看下show processes cpu | exclude 0.00%

然后看看那个线程CPU usage会比较高...

不知道有没有loop....

检测下有没有环路

再就是用排除法来分析了

把端口逐个断开，观察cpu利用率，很快就能找出故障的端口。或者进一步用排除发找出网络分支上的故障点。

1、判断故障原因

原理上，是在路由器上创建一个permit ip any any的access-list（访问列表），然后，把这个acl应用到故障端口上，打开ip包的debug，分析故障原因。例子如下：

1.1创建一个access-list ，允许ip包通过

route（config）# access-list 120 permit ip any any

1.2把此acl应用的故障端口上

route（（config-if）#ip access-group 120 in

这样做的目的是因为，下面要打开debug，就是要根据这个acl，来抓通过这个端口的包。

1.3打开debug进行抓包

route#debug ip packet 120

debug应该在console上进行

1.4停止debug

route#no debug all

注意debug可能会把路由器冲死，所以应该尽快停止。

1.5分析抓到的包

抓到的包，可以分析出原地址，目的地址，源端口，目的端口，用于判断故障的根源。

当然，有时遇到攻击软件，会用IP欺骗的方式进行攻击，例如下面看到的抓包信息

2:54:56: IP:

s=180.93.127.229 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0

1), g=211.138.74.97, len 40, forward

2:54:56: TCP src=1232, dst=80, seq=1632305152, ack=0, win=16384 SYN

2:54:56: IP: s=180.93.128.205 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0

1), g=211.138.74.97, len 40, forward

2:54:56: TCP src=1839, dst=80, seq=1144193024, ack=0, win=16384 SYN

2:54:56: IP: s=180.93.129.212 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0

1), g=211.138.74.97, len 40, forward

2:54:56: TCP src=1116, dst=80, seq=1918435328, ack=0, win=16384 SYN

2:54:56: IP: s=180.93.130.223 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0

1), g=211.138.74.97, len 40, forward

2:54:56: TCP src=1302, dst=80, seq=1559429120, ack=0, win=16384 SYN

上面这个例子可以看出，攻击行为用虚拟源地址180.x.x.x想目的地址192.151.73.76发包，这些包都被发到了网关，也就是路由器的FastEthernet0/0。

2、解决方法

首先，当然应该先找到罪魁祸首，如果在路由器上debug不是很清晰能找出故障源，就用sniffer或者ethereal这样的抓包工具找出那台机器。

另外，在路由器上，也可以针对攻击的特性，做访问列表，关闭相关的端口。

下面是在路由器上一个典型的acl

! --- 禁止ICMP协议

access-list 115 deny icmp any any echo

access-list 115 deny icmp any any echo-reply

! --- 禁止冲击波135端口的数据包.

access-list 115 deny tcp any any eq 135

access-list 115 deny udp any any eq 135

access-list 115 deny udp any any eq 4444

! --- 禁止TFTP应用的端口的数据包

access-list 115 deny udp any any eq 69

! --- 禁止其他微软的有漏洞的协议端口.

access-list 115 deny udp any any eq 137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

! --- 允许其他的IP包通过路由器端口.

access-list 115 permit ip any any

! --- 把以上的访问列表应用的端口上.

interface

ip access-group 115 in

ip access-group 115 out

另外还有和你一样有故障的人的结局方法：你可以参考下

1. IP

NAT导致路由器cpu利用率高的情况比较常见，查了nat表 发现我的静态映射条目只有5个不算多 这个应该不需要考虑

2.

在inside、outside端口增加no ip redirect和no ip

direct-broadcast等语句以减少cpu处理的数据包，这个是非常重要的一步，很多时候，路由器死机就是因为没有做这一步防范

3.

启用了service tcp-keepalive-in功能和scheduler process-watchdog

terminat功能，开启了看门狗进程，检查已经建立的tcp连接，如果发生不激活或者长时间挂起的情况，立刻中断这个连接。个人认为只对路由器自身发

起的链接有效，

4. 使用no ip source-route命令关于对于源ip地址的路由检查，这个避免了不必要的资源占用

5.

关闭一些不需要的服务 比如 no ip finger ，no service tcp-small-servers，no service

udp-small-servers等等

6. 关闭对直接广播的转发 no ip direct-broadcast

这样可以防治路由器对一些大量的广播包进行应答

7. 关闭了路由器的http服务

8. 关闭cdp服务

9.

最后一个，就是在路由器的outside口上，加上acl来防止一些主要的工具，在网上看了下，这个acl比较全

access-list 101 deny

tcp anyanyeq 135

access-list 101 deny tcp any any eq 139

access-list 101

deny tcp any any eq 389

access-list 101 deny tcp any any eq

420

access-list 101 deny tcp any any eq 445

access-list 101 deny tcp any

any eq 449

access-list 101 deny tcp any any eq 593

access-list 101 deny

tcp any any eq 1025

access-list 101 deny tcp any any eq 1092

access-list

101 deny tcp any any eq 1434

access-list 101 deny tcp any any eq

2745

access-list 101 deny tcp any any eq 3127

access-list 101 deny tcp any

any eq 4444

access-list 101 deny tcp any any eq 5354

access-list 101 deny

tcp any any eq 5554

access-list 101 deny tcp any any eq 5555

access-list

101 deny tcp any any eq 5800

access-list 101 deny tcp any any eq

5900

access-list 101 deny tcp any any eq 6129

access-list 101 deny tcp any

any eq 6667

access-list 101 deny tcp any any eq 9604

access-list 101 deny

tcp any any eq 9995

access-list 101 deny tcp any any eq 9996

access-list

101 deny tcp any any eq 16881

access-list 101 deny tcp any any eq

20168

access-list 101 deny udp any any eq 135

access-list 101 deny udp any

any eq netbios-ns

access-list 101 deny udp any any eq

netbios-dgm

access-list 101 deny udp any any eq 389

access-list 101 deny

udp any any eq 445

access-list 101 deny udp any any eq 449

access-list 101

deny udp any any eq 1068

access-list 101 deny udp any any eq

1092

access-list 101 deny udp any any eq 1433

access-list 101 deny udp any

any eq 1434

access-list 101 deny udp any any eq 5300

access-list 101 deny

udp any any eq 5554

access-list 101 deny udp any any eq 5800

access-list

101 deny udp any any eq 6667

access-list 101 deny udp any any eq

7995

access-list 101 deny udp any any eq 9800

access-list 101 deny udp any

any eq 16881

access-list 101 deny udp any any eq 20168

access-list 101

deny udp any any eq tftp

access-list 101 deny udp any any eq

netbios-ss

access-list 101 permit ip any any

关于思科路由器哪些服务被利用和思科路由器连接服务器的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。