IP 不可能的数据包 Cisco 1941

网络工程 思科 路由器 思科-ios ip
2021-08-02 23:03:48

我正在使用几个 CISCO1941/K9(版本 15.2(2)T1)路由器,我注意到每次我使用 Cisco Configuration Professional 发现它们时,我都会收到以下警告:

IPS-4-SIGNATURE Sig:1102 Subsig:0 Sev:100 不可​​能的 IP 数据包 [192.168.XY:8 -> 192.168.XY:0] VRF:NONE RiskRating:100

经过快速研究,我发现这可能是 Land 攻击(不是我的情况)或误报(我相信是这样)。链接:https ://tools.cisco.com/security/center/viewIpsSignature.x ? signatureId = 1102&signatureSubId=0

此外,似乎有一些错误导致此警告(请参阅 Cisco 错误:CSCsr49100),但它们是在不同的设备上发现的。链接:https : //quickview.cloudapps.cisco.com/quickview/bug/CSCsr49100

我很确定警告是由错误引起的,但我的老板不这么认为,我必须找到一种方法来说服她。我尝试嗅探 192.168.XY 子网上的流量,但没有任何可疑之处警告之前的数据包。

有没有办法找出导致路由器警告的数据包(在找到它之后,如果它是正常的,我将证明它是一个错误)?

1个回答

由于日志消息表明这是 Land 攻击,您可以在嗅探器跟踪中查看端口 = 0 的数据包。如果你没有找到任何,这是一个很好的迹象,这是一个误报。

另外,看看您是否可以在日志消息中识别数据包的来源。如果它是您控制的设备,您可以检查该设备以对其进行健康检查(如果不是,则对其进行修复)。