GLBP & HSRP Attacks
Last updated
Last updated
Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
FHRP został zaprojektowany w celu zapewnienia odporności sieci poprzez połączenie wielu routerów w jedną wirtualną jednostkę, co zwiększa rozkład obciążenia i tolerancję na awarie. Cisco Systems wprowadził do tej grupy znaczące protokoły, takie jak GLBP i HSRP.
Stworzony przez Cisco, GLBP działa na stosie TCP/IP, wykorzystując UDP na porcie 3222 do komunikacji. Routery w grupie GLBP wymieniają pakiety "hello" co 3 sekundy. Jeśli router nie wyśle tych pakietów przez 10 sekund, uznaje się go za offline. Jednak te timery nie są stałe i mogą być modyfikowane.
GLBP wyróżnia się umożliwieniem rozkładu obciążenia pomiędzy routerami za pomocą jednego wirtualnego IP w połączeniu z wieloma wirtualnymi adresami MAC. W grupie GLBP każdy router bierze udział w przekazywaniu pakietów. W odróżnieniu od HSRP/VRRP, GLBP oferuje rzeczywiste równoważenie obciążenia poprzez kilka mechanizmów:
Równoważenie Obciążenia Zależne od Hosta: Zapewnia stałe przypisanie adresu MAC AVF do hosta, co jest istotne dla stabilnych konfiguracji NAT.
Równoważenie Obciążenia Round-Robin: Domyślne podejście, polegające na zmianie przypisania adresu MAC AVF pomiędzy żądającymi hostami.
Równoważenie Obciążenia Ważone Round-Robin: Rozkłada obciążenie na podstawie zdefiniowanych metryk "Waga".
AVG (Aktywna Wirtualna Bramka): Główny router odpowiedzialny za przydzielanie adresów MAC do routerów równorzędnych.
AVF (Aktywny Wirtualny Przekierowujący): Router wyznaczony do zarządzania ruchem sieciowym.
Priorytet GLBP: Metryka określająca AVG, zaczynająca się od domyślnej wartości 100 i w zakresie od 1 do 255.
Waga GLBP: Odzwierciedla obecne obciążenie routera, regulowane ręcznie lub poprzez Śledzenie Obiektów.
Wirtualny Adres IP GLBP: Służy jako domyślna brama sieciowa dla wszystkich podłączonych urządzeń.
Do interakcji GLBP wykorzystuje zarezerwowany adres multicastowy 224.0.0.102 i port UDP 3222. Routery wysyłają pakiety "hello" co 3 sekundy i uznawane są za nieoperacyjne, jeśli pakiet zostanie pominięty przez okres 10 sekund.
Atakujący może stać się głównym routerem, wysyłając pakiet GLBP z najwyższą wartością priorytetu (255). Może to prowadzić do ataków typu DoS lub MITM, umożliwiając przechwytywanie lub przekierowywanie ruchu.
Loki może przeprowadzić atak GLBP poprzez wstrzyknięcie pakietu z ustawionym priorytetem i wagą na 255. Kroki przed atakiem obejmują zbieranie informacji, takich jak wirtualny adres IP, obecność uwierzytelnienia i wartości priorytetu routera za pomocą narzędzi takich jak Wireshark.
Kroki Ataku:
Przełącz się w tryb promiskuitywny i włącz przekazywanie IP.
Zidentyfikuj docelowy router i pobierz jego IP.
Wygeneruj ARP Gratuitous.
Wstrzyknij złośliwy pakiet GLBP, podszywając się pod AVG.
Przypisz drugi adres IP do interfejsu sieciowego atakującego, odzwierciedlając wirtualny adres IP GLBP.
Wdroż SNAT dla pełnej widoczności ruchu.
Dostosuj trasowanie, aby zapewnić ciągły dostęp do internetu poprzez oryginalny router AVG.
Śledząc te kroki, atakujący umieszcza się jako "człowiek pośrodku", zdolny do przechwytywania i analizowania ruchu sieciowego, w tym danych niezaszyfrowanych lub wrażliwych.
Poniżej znajdują się wymagane fragmenty poleceń do demonstracji:
HSRP to protokół własnościowy firmy Cisco zaprojektowany do zapewnienia redundancji bramy sieciowej. Umożliwia konfigurację wielu fizycznych routerów w pojedynczą jednostkę logiczną z wspólnym adresem IP. Ta jednostka logiczna jest zarządzana przez główny router odpowiedzialny za kierowanie ruchem. W przeciwieństwie do GLBP, który wykorzystuje metryki takie jak priorytet i waga do równoważenia obciążenia, HSRP polega na pojedynczym aktywnym routerze do zarządzania ruchem.
Aktywny Router HSRP: Urządzenie pełniące rolę bramy, zarządzające przepływem ruchu.
Rezerwowy Router HSRP: Router zapasowy, gotowy do przejęcia roli aktywnego routera w przypadku awarii.
Grupa HSRP: Zestaw routerów współpracujących w celu utworzenia jednego odpornego wirtualnego routera.
Adres MAC HSRP: Wirtualny adres MAC przypisany do routera logicznego w konfiguracji HSRP.
Wirtualny Adres IP HSRP: Wirtualny adres IP grupy HSRP, działający jako domyślna brama dla podłączonych urządzeń.
HSRP występuje w dwóch wersjach, HSRPv1 i HSRPv2, różniących się głównie pojemnością grupy, użyciem adresów IP multicast oraz strukturą wirtualnego adresu MAC. Protokół wykorzystuje określone adresy IP multicast do wymiany informacji usługowych, z pakietami Hello wysyłanymi co 3 sekundy. Router jest uznawany za nieaktywny, jeśli nie otrzyma pakietu w ciągu 10 sekund.
Ataki HSRP polegają na przymusowym przejęciu roli Aktywnego Routera poprzez wstrzyknięcie maksymalnej wartości priorytetu. Może to prowadzić do ataku typu Man-In-The-Middle (MITM). Istotne kroki przed atakiem obejmują zbieranie danych na temat konfiguracji HSRP, co można zrobić za pomocą Wireshark do analizy ruchu.
Zapisz ruch sieciowy zawierający dane HSRP jako plik .pcap.
Wyodrębnij hashe MD5 z pliku .pcap za pomocą hsrp2john.py.
Odszyfruj hashe MD5 za pomocą John the Ripper.
Wykonanie Wstrzyknięcia HSRP za pomocą Loki
Uruchom Loki, aby zidentyfikować reklamy HSRP.
Ustaw interfejs sieciowy w tryb promiskuitywny i włącz przekazywanie IP.
Użyj Lokiego, aby zaatakować określony router, wprowadź odszyfrowane hasło HSRP i wykonaj niezbędne konfiguracje do podszywania się pod Aktywnego Routera.
Po przejęciu roli Aktywnego Routera skonfiguruj interfejs sieciowy i tabele IP, aby przechwycić prawidłowy ruch.
Zmodyfikuj tabelę routingu, aby kierować ruch przez poprzedniego Aktywnego Routera.
Użyj net-creds.py lub podobnego narzędzia do przechwytywania poświadczeń z przechwyconego ruchu.
Wykonanie tych kroków umieszcza atakującego w pozycji do przechwytywania i manipulowania ruchem, podobnie jak w przypadku przejęcia GLBP. Podkreśla to podatność protokołów redundancji, takich jak HSRP, oraz potrzebę solidnych środków bezpieczeństwa.
