CDP Atakları ve Önlenmesi
CDP (Cisco Discovery Protocol) adından da anlaşılabileceği gibi Cisco tarafından geliştirilmiş, sadece Cisco cihazlarında çalışan ve sadece Cisco cihazları keşfeden OSI 2. katmanda çalışan bir protokoldür.
Örneğin çalıştığınız lokasyonda sadece Cisco cihazların olduğunu düşünün. Bir switchin hangi portuna hangi kullanıcının bağlı olduğunu veya diğer Cisco ağ cihazlarının IP adreslerine IOS sürümlerine ihtiyaç duyarsanız CDP protokolünü kullanabilirsiniz.
CDP Multicast yayın yapan bir protokoldür. CDP protokolü Cisco cihazlarında fabrika ayarlarında açık olarak gelir. Kapatmak isterseniz no cdp run komutunu kullanabilirsiniz.
Eğer protokolü kullanmak istiyor ve sadece belirli interfacelere uygulamak istiyorsanız. Uygulamak interface’in altına girerek no cdp enable komutunu kullanabilirsiniz.
CDP networke her 60 saniyede bir multicast olarak paketler gönderir. 180 saniye içerisinde komşuluk ilişkilerinden bilgi gelmezse komşuluk ilişkileri bitmiş olur.
Örnek topolojimiz üzerinden CDP’yi anlamaya çalışalım.
Bütün komşuları görmek için kullanacağımız komutumuz show cdp neighbors
Komutumuzun çıktısı bize komşuluk ilişkilerimizi gösteriyor.
Daha detaylı bilgi almak istersekte komutumuz show cdp neighbors detail komutunu kullanabiliriz.
CDP Atakları ve Önlenmesi
CDP bize bulunduğumuz yerdeki Cisco cihazlarla ilgili detaylı bilgiler veriyordu. Bu bilgiler bazen her ne kadar işimize yarar sağlasa da kötü niyetli kişilerin ağ cihazlarımıza zarar vermesini kimse istemez. Kötü niyetli kişiler CDP atak yaparak ağ cihazımızın kaynaklarını sonuna kadar kullanmasını sağlar. Peki biz bu durumda ne yapacağız?
Kullanacağımız tool Kali Linux dağıtımında bulunan Yersinia. Yersinia CDP, DHCP, 802.1Q, 802.1X, DTP, HSRP, ISL, MPLS, STP ve VTP atakları yapabileceğimiz bir program sizde bu program ile ağ cihazlarınıza pentest uygulayabilirsiniz. Yersinia’yı çalıştırmak için konsola yersinia -G yazıyoruz yani grafiksel modda çalıştırıyoruz.
CDP atağı testi için CDP sekmesine tıklıyoruz ve Launch attack butonuna tıklıyoruz.
Flooding atak yapacağımız için flooding CDP table seçeneğini seçip OK butonuna basıyoruz.
OK butonuna basar basmaz CDP atakları başladı. Switchimiz üzerinden CDP ataklarına bakalım.
Gördüğünüz gibi CDP tablosuna bir sürü atak gelmiş. Ben 5–6 saniye çalıştırmama rağmen programı 380 tane atak yapmıştı.
Bu atağı önlemek ise çok basit ilgili interface’in altına girip no cdp run komutunu kullanabilirsiniz.
Dediğim gibi CDP’yi kullanana kadar kapatın. Sadece ihtiyacınız varsa açarsınız. Bu arada Cisco cihazlar fabrika ayarlarında CDP açık olarak gelmektedir.
