Password Recovery Tool of Cisco IOS
作者:admin 日期:2010-08-21
最近做项目的时候,一时间忘记了Cisco路由器的密码,还好有这么一款软件可以破解Cisco IOS中相关的密码,这样才能够顺利登陆到路由器上。现在分享给大家。
Password Recovery Tool is used to recover any keys of type “7” for gaining access to Cisco routers. You can also use Password Recovery Tool for recovery of the following types of keys:
· Router access password
· User password
· Authorization key for RADIUS server
· Authorization key for TACACS server
· Router access password via the console
Password Recovery Tool is used to recover any keys of type “7” for gaining access to Cisco routers. You can also use Password Recovery Tool for recovery of the following types of keys:
· Router access password
· User password
· Authorization key for RADIUS server
· Authorization key for TACACS server
· Router access password via the console
【安全】TCP Intercept(TCP截取)
作者:admin 日期:2008-09-19
对付TCP SYN洪水攻击的一个可选方法就是执行Cisco IOS的TCP截取功能。
TCP SYN洪水攻击是一种很容易发起的攻击。攻击者发起的攻击。攻击者发送TCP SYN报文洪水,但是对每个连接没有完成三次握手的打算。通常,攻击者将它与IP欺骗结合起来。
TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。由于黑客们发送请求的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当等待连接达到一定数量后,缓冲区资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
TCP SYN洪水攻击是一种很容易发起的攻击。攻击者发起的攻击。攻击者发送TCP SYN报文洪水,但是对每个连接没有完成三次握手的打算。通常,攻击者将它与IP欺骗结合起来。
TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。由于黑客们发送请求的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当等待连接达到一定数量后,缓冲区资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
Tags: TCP_Intercept TCP截取 安全
【安全】802.1x
作者:admin 日期:2008-09-18
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。
【安全】CBAC
作者:admin 日期:2008-09-10
CBAC的工作方式类似于自反访问表。它会检查向外的会话,并且创建临时开启表项来允许返回的通信报文。其不同之处在于CBAC可以基于上层信息进行检测,以及可以安全地处理大量应用。自反访问表与传统的访问表一样,不能检测高于第4层的信息。换句话说,它们除了正在使用的 TCP/UDP端口和 IP地址外不能检测到任何信息。它们也不能根据应用的行为作出任何智能的操作。例如,自反访问表不能打开特定的附加端口用于 FTP,而将另外一些端口用于CU-SeeMe 流量。相比而言, CBAC可以为这些应用,甚至更多的应用打开所需的端口。CBAC可以为许多应用提供智能过滤功能。本文档详细的讲述了CBAC的相关知识,并有两个实例来说明配置的方法。
【安全】Reflexive ACL
作者:admin 日期:2008-09-08
【安全】Time-Base ACL
作者:admin 日期:2008-09-07
Cisco访问表的一个相对新一些的特征,这个新特征可以基于时间段(一天中的某段时间,一个星期中的某几天,或两者兼而有之)来实现访问表。前面提到过,在IOS版本12.0 以前,没有什么简单的方法可以基于时间或日期来改变访问表。当然,可以建立多个访问表,将其存储在路由器中,在星期五的晚上移去一个已存在的访问表,并应用一个新的替代者,但这毕竟不是一种吸引人的方法。同样,在星期一的一大早就要赶到办公室来进行相反的过程也令人难受。 Cisco从IOS版本12.0 开始引入基于时间的访问表,这类访问表解决了这个问题。与其他特征不一样,基于时间的访问表被所有的 Cisco IOS平台所支持。使用基于时间的访问表的主要目的是根据一天中的不同时间,或者根据一星期中的不同天,或者二者的结合,来控制对网络资源的访问。基于时间的访问表允许网络管理员对流入网络和流出网络的数据进行附加的控制。网络管理员对周末或工作日中的不同时间段定义不同的安全策略。另外,这种基于时间的数据流过滤实现方法使得网络管理员对组织中的策略和过程更具有敏感性。例如,某些组织可能希望所有的或特殊的雇员在通常的业务时间之后可以进行 Web冲浪。基于时间的访问表使得满足组织的这种需求变得容易。基于时间的访问表的另一个示例是在不同的时间段内通过服务类型(type of service, TOS)域改变数据流。读者还可以使用基于时间的访问表来控制日志消息,以记录不同时间段的行为。这样,基于时间的访问表提供了一种改变报文过滤的机制,它能够满足公司的某些需要。
【安全】Fragment
作者:admin 日期:2008-09-06
【原创】NTP实验大全
作者:admin 日期:2008-05-06
实验一:常用NTP配置
实验二:NTP peer的限制
实验三:NTP 广播模式
实验四:NTP 多播模式
附录A : 世界时区缩写
=============
实验总结:为了让所有的路由器都在一个时区内。我们需要在每个路由器上手工设置时区,中国的时区缩写为CCT,(GMT +8)。关于夏令时的设置默认不没有开启的。如果把夏令时设置了不同的值,那么很有可能导致路由器之间相差一天的时间(我做时间遇到了)。在中国,由于不使用夏令时了,所以我们没有必要设置。实验中,我使用了环回接口,目的是由于跟踪NTP请求的来源,以便快速定位到相应的设备。
实验二:NTP peer的限制
实验三:NTP 广播模式
实验四:NTP 多播模式
附录A : 世界时区缩写
=============
实验总结:为了让所有的路由器都在一个时区内。我们需要在每个路由器上手工设置时区,中国的时区缩写为CCT,(GMT +8)。关于夏令时的设置默认不没有开启的。如果把夏令时设置了不同的值,那么很有可能导致路由器之间相差一天的时间(我做时间遇到了)。在中国,由于不使用夏令时了,所以我们没有必要设置。实验中,我使用了环回接口,目的是由于跟踪NTP请求的来源,以便快速定位到相应的设备。
