一、Cisco发现协议

CDP是一个Cisco专用协【zhuān yòng xié】议🌚，运行在【yùn háng zài】所有Cisco产品的第二层🤳，用来和其他直🙀接相连🤘的Cisco设备共享基本【xiǎng jī běn】的设备信息【xìn xī】🤘。独立于【dú lì yú】📍介质和协议【xié yì】🌚。

黑客再【hēi kè zài】勘测攻击中使用✡CDP信息【xìn xī】，这种可能性是【néng xìng shì】⚫比较小的。因为必🐵须在相【xū zài xiàng】同的广播域才📋能查看CDP组播帧【zǔ bō zhēn】。所以，建议在【jiàn yì zài】边界路【biān jiè lù】🚬由器上关闭【guān bì】🐗CDP,或至少【huò zhì shǎo】🍕在连接【zài lián jiē】到公共网络的接口上关闭【guān bì】🐗CDP.
缺省情🥡况下是启用【qǐ yòng】🌒的。全局关【quán jú guān】闭🐗CDP,使用✡no cdp run命令🚅，关闭【guān bì】🐗之后【zhī hòu】，应该使用✡show cdp验证CDP是否已🛬被关闭【guān bì】🐗。

二、TCP和UDP低端口服务

TCP和🍴UDP低端口【dī duān kǒu】🗑服务是运行在设备上【shè bèi shàng】的端口【de duān kǒu】🗑19和更低🕥端口的🈵服务。所有这【suǒ yǒu zhè】些服务【xiē fú wù】都已经【dōu yǐ jīng】过时🐌：如日期和时间🔏（daytime,端口🗑13），测试连通性（echo,端口🗑7）和🍴生成字符串【fú chuàn】😾（chargen,端口🗑19）。

下面显【xià miàn xiǎn】⏫示了一个打开的连接，被连接的路由🐠器上打【qì shàng dǎ】开了【kāi le】📖chargen服务：Router#telnet 192.168.1.254 chargen

要在路由器上【yóu qì shàng】💈关闭这些服务🐤，使用下【shǐ yòng xià】面的配置【zhì】🍀：Router（config）#no service tcp-small-serversRouter（config）#no service udp-small-servers

关闭了【guān bì le】这些服务之后，用下面方法进【fāng fǎ jìn】♉行测试👺，如【rú】📁：Router（config）#telnet 192.168.1.254 daytime

三、Finger

Finger协议（端口【duān kǒu】79）允许网🥌络上的用户获【yòng hù huò】得当前正在使用特定【yòng tè dìng】路由选【lù yóu xuǎn】择设备👏的用户列表，显示的【xiǎn shì de】信息包🗽括系统中运行【zhōng yùn háng】🤸的进程、链路号、连接名【lián jiē míng】、闲置时🌡间和终♟端位置。通过📱show user命令来【mìng lìng lái】提供的🛃。

Finger是一个检测谁【jiǎn cè shuí】登录到一台主【yī tái zhǔ】机的UNIX程序🏤，而不用🚭亲自登录到设【lù dào shè】备来查📹看【kàn】🏕。

下面显👗示了一【shì le yī】个验证⏱finger服务被📅打开和【dǎ kāi hé】如何关【rú hé guān】闭的例子：Router#telnet 192.168.1.254 finger

（connect 192.168.1.254 finger）Router（config）#no ip fingerRouter（config）#no service finger

当对路【dāng duì lù】由器执【yóu qì zhí】行一个【háng yī gè】finger操作时，路由器以show users命令【mìng lìng】🏓的输出【de shū chū】来作为响🌦应⬅。要阻止💵响应⬅，使用🧝no ip finger命令【mìng lìng】🏓，将关闭【jiāng guān bì】finger服务。在较老🌆的版本中【zhōng】🦊，使用🧝no service finger命令【mìng lìng】🏓。在较新版本中【zhōng】🦊，两个命【liǎng gè mìng】令🏓都适用。

四、IdentD

IP鉴别支持对某个⏫TCP端口身【duān kǒu shēn】份的查💳询【xún】。能够报告一个🚗发起TCP连接的【jiē de】🚚客户端身份【shēn fèn】，以及响应该连接的【jiē de】🚚主机的【zhǔ jī de】身【shēn】👥份。

IdentD允许远【yǔn xǔ yuǎn】🛴程设备为了识🕋别目的【bié mù de】🐧查询一【chá xún yī】个TCP端口【duān kǒu】🍠。是一个【shì yī gè】🌟不安全的协议，旨在帮助识别一个想【yī gè xiǎng】要连接🚩的设备。一个设🎌备发送请求到🖋Ident端口【duān kǒu】🍠（TCP 113），目的设【mù de shè】备用其身份信息作为响应🐋，如主机和设备【hé shè bèi】名【míng】。

如果支🎉持IP鉴别【jiàn bié】🥅，攻击者就能够🐪连接到主机的一个【yī gè】🤢TCP端口上👈，发布一【fā bù yī】个🤢简单的字符串以请求【yǐ qǐng qiú】信息，得到一⛎个返回【gè fǎn huí】的简单字符串响应【xiǎng yīng】。

要关闭IdentD服务【fú wù】，使用下🍎面的命令【lìng】🚴：Router（config）#no ip identd

可以通🚢过【guò】Telnet到设备【dào shè bèi】🥦的113端口来进行测【jìn háng cè】试🎫。

五、IP源路由

应该在所有的【suǒ yǒu de】路由器🖕上关闭，包括边界路由器🖕。可以使用下面【yòng xià miàn】的命令📅：Router（config）#no ip source-route禁止对✂带有源【dài yǒu yuán】路由选项的【xiàng de】💟IP数据包的转发【de zhuǎn fā】🕵

六、FTP和TFTP

路由器【lù yóu qì】🌮可以用🏩作FTP服务器【fú wù qì】和🐸TFTP服务器【fú wù qì】，可以将【kě yǐ jiāng】📞映像从【yìng xiàng cóng】一台路由器【lù yóu qì】🌮复制到另一台。建议不🍙要使用这个功【zhè gè gōng】能【néng】，因为😾FTP和🐸TFTP都是不🕔安全的【ān quán de】协议。

默认地【mò rèn dì】，FTP服务器在路由器上【qì shàng】🏫是关闭的【de】，然而，为了安【wéi le ān】🎋全起见😪，仍然建议在路由器上【qì shàng】🏫执行以下命令【xià mìng lìng】🛷：Router（config）#no ftp-server write-enable （12.3版本开始💸）Router（config）#no ftp-server enable

可以通🆙过使用【guò shǐ yòng】一个FTP客户端📭从PC进行测😞试【shì】，尝试建【cháng shì jiàn】📤立到路由器的连接【lián jiē】。