GLBP & HSRP Attacks
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
FHRP è progettato per fornire robustezza alla rete unendo più router in una singola unità virtuale, migliorando così la distribuzione del carico e la tolleranza ai guasti. Cisco Systems ha introdotto protocolli di spicco in questo insieme, come GLBP e HSRP.
La creazione di Cisco, GLBP, funziona sullo stack TCP/IP, utilizzando UDP sulla porta 3222 per la comunicazione. I router in un gruppo GLBP scambiano pacchetti "hello" a intervalli di 3 secondi. Se un router non riesce a inviare questi pacchetti per 10 secondi, si presume che sia offline. Tuttavia, questi timer non sono fissi e possono essere modificati.
GLBP si distingue per la possibilità di distribuire il carico tra i router utilizzando un singolo IP virtuale abbinato a più indirizzi MAC virtuali. In un gruppo GLBP, ogni router è coinvolto nell'inoltro dei pacchetti. A differenza di HSRP/VRRP, GLBP offre un vero bilanciamento del carico attraverso diversi meccanismi:
Host-Dependent Load Balancing: Mantiene un'assegnazione costante dell'indirizzo MAC AVF a un host, essenziale per configurazioni NAT stabili.
Round-Robin Load Balancing: L'approccio predefinito, alternando l'assegnazione dell'indirizzo MAC AVF tra gli host richiedenti.
Weighted Round-Robin Load Balancing: Distribuisce il carico in base a metriche di "Peso" predefinite.
AVG (Active Virtual Gateway): Il router principale, responsabile dell'assegnazione degli indirizzi MAC ai router peer.
AVF (Active Virtual Forwarder): Un router designato per gestire il traffico di rete.
GLBP Priority: Una metrica che determina l'AVG, partendo da un valore predefinito di 100 e variando tra 1 e 255.
GLBP Weight: Riflette il carico attuale su un router, regolabile manualmente o tramite Object Tracking.
GLBP Virtual IP Address: Funziona come gateway predefinito della rete per tutti i dispositivi connessi.
Per le interazioni, GLBP utilizza l'indirizzo multicast riservato 224.0.0.102 e la porta UDP 3222. I router trasmettono pacchetti "hello" a intervalli di 3 secondi e sono considerati non operativi se un pacchetto viene perso per una durata di 10 secondi.
Un attaccante può diventare il router principale inviando un pacchetto GLBP con il valore di priorità più alto (255). Questo può portare a attacchi DoS o MITM, consentendo l'intercettazione o la reindirizzazione del traffico.
Loki può eseguire un attacco GLBP iniettando un pacchetto con priorità e peso impostati a 255. I passaggi pre-attacco comportano la raccolta di informazioni come l'indirizzo IP virtuale, la presenza di autenticazione e i valori di priorità del router utilizzando strumenti come Wireshark.
Attack Steps:
Passare alla modalità promiscuous e abilitare l'inoltro IP.
Identificare il router target e recuperare il suo IP.
Generare un ARP Gratuitous.
Iniettare un pacchetto GLBP malevolo, impersonando l'AVG.
Assegnare un indirizzo IP secondario all'interfaccia di rete dell'attaccante, rispecchiando l'IP virtuale GLBP.
Implementare SNAT per una visibilità completa del traffico.
Regolare il routing per garantire l'accesso continuo a Internet attraverso il router AVG originale.
Seguendo questi passaggi, l'attaccante si posiziona come un "uomo nel mezzo", in grado di intercettare e analizzare il traffico di rete, inclusi dati non crittografati o sensibili.
Per la dimostrazione, ecco i frammenti di comando richiesti:
Monitoring e intercettazione del traffico possono essere effettuati utilizzando net-creds.py o strumenti simili per catturare e analizzare i dati che scorrono attraverso la rete compromessa.
HSRP è un protocollo proprietario Cisco progettato per la ridondanza del gateway di rete. Consente la configurazione di più router fisici in un'unica unità logica con un indirizzo IP condiviso. Questa unità logica è gestita da un router primario responsabile della direzione del traffico. A differenza di GLBP, che utilizza metriche come priorità e peso per il bilanciamento del carico, HSRP si basa su un singolo router attivo per la gestione del traffico.
Router Attivo HSRP: Il dispositivo che funge da gateway, gestendo il flusso di traffico.
Router Standby HSRP: Un router di backup, pronto a subentrare se il router attivo fallisce.
Gruppo HSRP: Un insieme di router che collaborano per formare un singolo router virtuale resiliente.
Indirizzo MAC HSRP: Un indirizzo MAC virtuale assegnato al router logico nella configurazione HSRP.
Indirizzo IP Virtuale HSRP: L'indirizzo IP virtuale del gruppo HSRP, che funge da gateway predefinito per i dispositivi connessi.
HSRP è disponibile in due versioni, HSRPv1 e HSRPv2, che differiscono principalmente nella capacità del gruppo, nell'uso dell'IP multicast e nella struttura dell'indirizzo MAC virtuale. Il protocollo utilizza indirizzi IP multicast specifici per lo scambio di informazioni di servizio, con pacchetti Hello inviati ogni 3 secondi. Un router è considerato inattivo se non viene ricevuto alcun pacchetto entro un intervallo di 10 secondi.
Gli attacchi HSRP comportano l'assunzione forzata del ruolo del Router Attivo iniettando un valore di priorità massimo. Questo può portare a un attacco Man-In-The-Middle (MITM). I passaggi essenziali pre-attacco includono la raccolta di dati sulla configurazione HSRP, che può essere effettuata utilizzando Wireshark per l'analisi del traffico.
Salva il traffico di rete contenente dati HSRP come file .pcap.
Estrai gli hash MD5 dal file .pcap utilizzando hsrp2john.py.
Cracca gli hash MD5 utilizzando John the Ripper.
Esecuzione dell'Iniezione HSRP con Loki
Avvia Loki per identificare le pubblicità HSRP.
Imposta l'interfaccia di rete in modalità promiscuo e abilita l'inoltro IP.
Usa Loki per mirare al router specifico, inserisci la password HSRP craccata e esegui le configurazioni necessarie per impersonare il Router Attivo.
Dopo aver ottenuto il ruolo del Router Attivo, configura la tua interfaccia di rete e le tabelle IP per intercettare il traffico legittimo.
Modifica la tabella di routing per instradare il traffico attraverso il precedente Router Attivo.
Usa net-creds.py o un'utilità simile per catturare le credenziali dal traffico intercettato.
Eseguire questi passaggi pone l'attaccante in una posizione per intercettare e manipolare il traffico, simile alla procedura per l'hijacking GLBP. Questo evidenzia la vulnerabilità nei protocolli di ridondanza come HSRP e la necessità di misure di sicurezza robuste.
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
