一、Cisco發現協議

CDP是一個Cisco專用（yòng）協議，運行在所有Cisco產品的第二層，用來和其他直接相連（lián）的Cisco設備共享基本的設備信息。獨立於介質和（hé）協議。

黑客再勘測攻擊中使用CDP信息，這種可能性是比較小的。因為必須在相同的廣（guǎng）播域才能查看CDP組播幀。所以，建議在邊界路由器上關閉CDP,或至少在連接到公共網絡的接（jiē）口（kǒu）上（shàng）關閉CDP.
缺（quē）省情況下是啟用的。全局（jú）關閉CDP,使用no cdp run命令，關閉之後，應該使用（yòng）show cdp驗證CDP是否已被（bèi）關閉。

二、TCP和（hé）UDP低端口服務（wù）

TCP和UDP低端口服務是運行在設備上的端口19和更低端口的（de）服（fú）務。所有這些（xiē）服（fú）務都已經過時：如（rú）日期和時間（daytime,端（duān）口13），測試連通性（echo,端口7）和生成字符（fú）串（chargen,端口19）。

下麵（miàn）顯示了一個打開的連接，被連接的路由（yóu）器上打開了（le）chargen服務：Router#telnet 192.168.1.254 chargen

要在路由器上關（guān）閉這些服（fú）務，使用下麵的配置：Router（config）#no service tcp-small-serversRouter（config）#no service udp-small-servers

關（guān）閉了這些服務（wù）之後，用下麵方（fāng）法進行（háng）測試，如：Router（config）#telnet 192.168.1.254 daytime

三、Finger

Finger協議（端口79）允（yǔn）許網絡上的用戶獲得當前正在使用特定路由選擇（zé）設（shè）備的用戶列表，顯示的信息包括係統中運行的進程、鏈路號、連接名、閑（xián）置時間和終端位置。通過show user命令來提供的。

Finger是一個檢測誰登（dēng）錄到一台主機的UNIX程（chéng）序，而不用親（qīn）自登錄（lù）到設備來查看。

下（xià）麵顯示了一個驗證finger服務被（bèi）打開和如何關閉的例子：Router#telnet 192.168.1.254 finger

（connect 192.168.1.254 finger）Router（config）#no ip fingerRouter（config）#no service finger

當對路由器執行一個finger操作時，路由器以show users命令的（de）輸（shū）出來作為響應。要阻止（zhǐ）響應，使用no ip finger命令，將關閉finger服務（wù）。在較老的版本中（zhōng），使（shǐ）用no service finger命令。在較新版（bǎn）本（běn）中，兩個命令都適用（yòng）。

四、IdentD

IP鑒別（bié）支持對某個TCP端（duān）口身份的查（chá）詢。能夠報告一個發（fā）起（qǐ）TCP連接的客戶端身份（fèn），以及（jí）響（xiǎng）應該連接的主機的身份。

IdentD允許（xǔ）遠（yuǎn）程（chéng）設備為了（le）識別目的（de）查（chá）詢一個TCP端口。是一個不安全的協（xié）議，旨在幫助識別一個想要連（lián）接的設備。一個設備發送請求到Ident端口（TCP 113），目（mù）的設備用其身（shēn）份信息作為（wéi）響應，如主機和設備名。

如果支持IP鑒別，攻擊者就能（néng）夠連接到主機的一個TCP端口上，發布一個簡單的字符串以請求信息，得（dé）到一個返回的簡單字（zì）符串響應。

要（yào）關（guān）閉IdentD服（fú）務，使用下麵的命令：Router（config）#no ip identd

可以通過Telnet到設備的113端口來（lái）進行測（cè）試。

五、IP源路由

應該（gāi）在所有的路由器上（shàng）關閉，包括邊界路由器。可（kě）以使用下麵的命令：Router（config）#no ip source-route禁止對（duì）帶有源路由選項的IP數據包的轉發

六、FTP和TFTP

路由器可以用作FTP服（fú）務器和TFTP服務器，可以將映像從一台（tái）路由器複（fù）製到另一台。建議不要使用這個功能，因為FTP和TFTP都是不（bú）安全（quán）的協議（yì）。

默認地，FTP服務（wù）器在（zài）路由器上是關閉的，然而，為了（le）安全起見，仍然建議（yì）在路由器上執（zhí）行以下命令：Router（config）#no ftp-server write-enable （12.3版本開始）Router（config）#no ftp-server enable

可以通過（guò）使用一個FTP客（kè）戶端從PC進行測試，嚐試建立到路由器（qì）的連接。