GLBP & HSRP Attacks
Last updated
Last updated
Aprenda e pratique Hacking AWS:Treinamento HackTricks AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: Treinamento HackTricks GCP Red Team Expert (GRTE)
FHRP é projetado para fornecer robustez de rede ao mesclar vários roteadores em uma única unidade virtual, melhorando assim a distribuição de carga e a tolerância a falhas. A Cisco Systems introduziu protocolos proeminentes nesta suíte, como GLBP e HSRP.
A criação da Cisco, GLBP, funciona na pilha TCP/IP, utilizando UDP na porta 3222 para comunicação. Roteadores em um grupo GLBP trocam pacotes "hello" em intervalos de 3 segundos. Se um roteador falhar em enviar esses pacotes por 10 segundos, presume-se que esteja offline. No entanto, esses temporizadores não são fixos e podem ser modificados.
O GLBP se destaca ao permitir a distribuição de carga entre roteadores usando um único IP virtual associado a vários endereços MAC virtuais. Em um grupo GLBP, cada roteador está envolvido no encaminhamento de pacotes. Ao contrário do HSRP/VRRP, o GLBP oferece um balanceamento de carga genuíno por meio de vários mecanismos:
Balanceamento de Carga Dependente do Host: Mantém a atribuição de endereço MAC AVF consistente a um host, essencial para configurações NAT estáveis.
Balanceamento de Carga Round-Robin: A abordagem padrão, alternando a atribuição de endereço MAC AVF entre hosts solicitantes.
Balanceamento de Carga Round-Robin Ponderado: Distribui a carga com base em métricas de "Peso" predefinidas.
AVG (Gateway Virtual Ativo): O roteador principal, responsável por alocar endereços MAC para roteadores pares.
AVF (Encaminhador Virtual Ativo): Um roteador designado para gerenciar o tráfego de rede.
Prioridade GLBP: Uma métrica que determina o AVG, começando em um padrão de 100 e variando entre 1 e 255.
Peso GLBP: Reflete a carga atual em um roteador, ajustável manualmente ou por meio de Rastreamento de Objetos.
Endereço IP Virtual GLBP: Serve como gateway padrão da rede para todos os dispositivos conectados.
Para interações, o GLBP utiliza o endereço multicast reservado 224.0.0.102 e a porta UDP 3222. Os roteadores transmitem pacotes "hello" em intervalos de 3 segundos e são considerados não operacionais se um pacote for perdido por uma duração de 10 segundos.
Um atacante pode se tornar o roteador principal enviando um pacote GLBP com o valor de prioridade mais alto (255). Isso pode levar a ataques de DoS ou MITM, permitindo a interceptação ou redirecionamento de tráfego.
Loki pode realizar um ataque GLBP injetando um pacote com prioridade e peso definidos como 255. As etapas pré-ataque envolvem a coleta de informações como o endereço IP virtual, presença de autenticação e valores de prioridade do roteador usando ferramentas como Wireshark.
Passos do Ataque:
Alterne para o modo promíscuo e ative o encaminhamento IP.
Identifique o roteador alvo e recupere seu IP.
Gere um ARP Gratuito.
Injete um pacote GLBP malicioso, se passando pelo AVG.
Atribua um endereço IP secundário à interface de rede do atacante, espelhando o IP virtual do GLBP.
Implemente SNAT para total visibilidade do tráfego.
Ajuste o roteamento para garantir o acesso contínuo à internet por meio do roteador AVG original.
Seguindo esses passos, o atacante se posiciona como um "homem no meio", capaz de interceptar e analisar o tráfego de rede, incluindo dados não criptografados ou sensíveis.
Para demonstração, aqui estão os trechos de comando necessários:
HSRP é um protocolo proprietário da Cisco projetado para redundância de gateway de rede. Ele permite a configuração de vários roteadores físicos em uma única unidade lógica com um endereço IP compartilhado. Essa unidade lógica é gerenciada por um roteador primário responsável por direcionar o tráfego. Ao contrário do GLBP, que usa métricas como prioridade e peso para balanceamento de carga, o HSRP depende de um único roteador ativo para o gerenciamento de tráfego.
Roteador Ativo do HSRP: O dispositivo que atua como gateway, gerenciando o fluxo de tráfego.
Roteador em Espera do HSRP: Um roteador de backup, pronto para assumir se o roteador ativo falhar.
Grupo HSRP: Um conjunto de roteadores que colaboram para formar um único roteador virtual resiliente.
Endereço MAC do HSRP: Um endereço MAC virtual atribuído ao roteador lógico na configuração do HSRP.
Endereço IP Virtual do HSRP: O endereço IP virtual do grupo HSRP, atuando como gateway padrão para dispositivos conectados.
O HSRP possui duas versões, HSRPv1 e HSRPv2, diferindo principalmente na capacidade do grupo, uso de IP multicast e estrutura do endereço MAC virtual. O protocolo utiliza endereços IP multicast específicos para a troca de informações de serviço, com pacotes Hello enviados a cada 3 segundos. Um roteador é considerado inativo se nenhum pacote for recebido dentro de um intervalo de 10 segundos.
Os ataques do HSRP envolvem assumir à força o papel do Roteador Ativo injetando um valor de prioridade máximo. Isso pode levar a um ataque de Homem-no-Meio (MITM). Etapas essenciais pré-ataque incluem coletar dados sobre a configuração do HSRP, o que pode ser feito usando o Wireshark para análise de tráfego.
Salve o tráfego de rede contendo dados do HSRP como um arquivo .pcap.
Extraia hashes MD5 do arquivo .pcap usando hsrp2john.py.
Quebre os hashes MD5 usando o John the Ripper.
Executando a Injeção de HSRP com Loki
Inicie o Loki para identificar anúncios do HSRP.
Defina a interface de rede para o modo promíscuo e ative o encaminhamento de IP.
Use o Loki para direcionar um roteador específico, insira a senha do HSRP quebrada e faça as configurações necessárias para se passar pelo Roteador Ativo.
Após obter o papel de Roteador Ativo, configure sua interface de rede e tabelas de IP para interceptar o tráfego legítimo.
Modifique a tabela de roteamento para rotear o tráfego através do antigo Roteador Ativo.
Use net-creds.py ou uma ferramenta similar para capturar credenciais do tráfego interceptado.
Executar essas etapas coloca o atacante em uma posição para interceptar e manipular o tráfego, semelhante ao procedimento para o sequestro de GLBP. Isso destaca a vulnerabilidade em protocolos de redundância como o HSRP e a necessidade de medidas de segurança robustas.
