GLBP & HSRP Attacks

Websec | Uw Cybersecurity Specialist

FHRP Hijacking Overview

Insights into FHRP

FHRP imeundwa ili kutoa uimara wa mtandao kwa kuunganisha route nyingi katika kitengo kimoja cha virtual, hivyo kuboresha usambazaji wa mzigo na uvumilivu wa makosa. Cisco Systems ilianzisha protokali maarufu katika seti hii, kama GLBP na HSRP.

GLBP Protocol Insights

Uundaji wa Cisco, GLBP, unafanya kazi kwenye TCP/IP stack, ukitumia UDP kwenye bandari 3222 kwa mawasiliano. Route katika kundi la GLBP hubadilishana pakiti za "hello" kila sekunde 3. Ikiwa router itashindwa kutuma pakiti hizi kwa sekunde 10, inachukuliwa kuwa haipo mtandaoni. Hata hivyo, hizi timers si za kudumu na zinaweza kubadilishwa.

GLBP Operations and Load Distribution

GLBP inajitofautisha kwa kuwezesha usambazaji wa mzigo kati ya route kwa kutumia IP moja ya virtual iliyo na anwani nyingi za MAC za virtual. Katika kundi la GLBP, kila router inahusika katika kupeleka pakiti. Tofauti na HSRP/VRRP, GLBP inatoa usawa wa mzigo wa kweli kupitia mitindo kadhaa:

• Host-Dependent Load Balancing: Inahifadhi usambazaji wa anwani ya MAC ya AVF kwa mwenyeji, muhimu kwa usanidi thabiti wa NAT.

• Round-Robin Load Balancing: Njia ya kawaida, ikibadilisha usambazaji wa anwani ya MAC ya AVF kati ya wenyeji wanaohitaji.

• Weighted Round-Robin Load Balancing: Inasambaza mzigo kulingana na viwango vilivyowekwa vya "Weight".

Key Components and Terminologies in GLBP

• AVG (Active Virtual Gateway): Router kuu, inayohusika na kugawa anwani za MAC kwa route wenza.

• AVF (Active Virtual Forwarder): Router iliyopewa kusimamia trafiki ya mtandao.

• GLBP Priority: Kipimo kinachotathmini AVG, ikianza kwa kiwango cha kawaida cha 100 na kuanzia kati ya 1 na 255.

• GLBP Weight: Inaonyesha mzigo wa sasa kwenye router, inayoweza kubadilishwa kwa mikono au kupitia Object Tracking.

• GLBP Virtual IP Address: Inatumika kama lango la kawaida la mtandao kwa vifaa vyote vilivyounganishwa.

Kwa mawasiliano, GLBP inatumia anwani ya multicast iliyohifadhiwa 224.0.0.102 na bandari ya UDP 3222. Route hutuma pakiti za "hello" kila sekunde 3, na zinachukuliwa kuwa hazifanyi kazi ikiwa pakiti itakosa kwa muda wa sekunde 10.

GLBP Attack Mechanism

Mshambuliaji anaweza kuwa router kuu kwa kutuma pakiti ya GLBP yenye thamani ya kipaumbele ya juu zaidi (255). Hii inaweza kusababisha mashambulizi ya DoS au MITM, ikiruhusu kukamatwa au kuelekeza trafiki.

Executing a GLBP Attack with Loki

Loki inaweza kufanya shambulizi la GLBP kwa kuingiza pakiti yenye kipaumbele na uzito uliowekwa kuwa 255. Hatua za kabla ya shambulizi zinajumuisha kukusanya taarifa kama anwani ya IP ya virtual, uwepo wa uthibitisho, na thamani za kipaumbele za router kwa kutumia zana kama Wireshark.

Attack Steps:

1. Switch to promiscuous mode and enable IP forwarding.

2. Identify the target router and retrieve its IP.

3. Generate a Gratuitous ARP.

4. Inject a malicious GLBP packet, impersonating the AVG.

5. Assign a secondary IP address to the attacker's network interface, mirroring the GLBP virtual IP.

6. Implement SNAT for complete traffic visibility.

7. Adjust routing to ensure continued internet access through the original AVG router.

By following these steps, the attacker positions themselves as a "man in the middle," capable of intercepting and analyzing network traffic, including unencrypted or sensitive data.

For demonstration, here are the required command snippets:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Passive Explanation of HSRP Hijacking with Command Details

Overview of HSRP (Hot Standby Router/Redundancy Protocol)

HSRP ni protokali ya miliki ya Cisco iliyoundwa kwa ajili ya upungufu wa lango la mtandao. Inaruhusu usanidi wa route nyingi za kimwili kuwa kitengo kimoja cha mantiki chenye anwani ya IP iliyoshirikiwa. Kitengo hiki cha mantiki kinadhibitiwa na router kuu inayohusika na kuelekeza trafiki. Tofauti na GLBP, ambayo inatumia vipimo kama kipaumbele na uzito kwa ajili ya usawa wa mzigo, HSRP inategemea router moja inayofanya kazi kwa usimamizi wa trafiki.

Roles and Terminology in HSRP

• HSRP Active Router: Kifaa kinachofanya kazi kama lango, kinachosimamia mtiririko wa trafiki.

• HSRP Standby Router: Router ya akiba, tayari kuchukua nafasi ikiwa router inayofanya kazi itashindwa.

• HSRP Group: Seti ya route zinazoshirikiana kuunda router moja ya virtual yenye nguvu.

• HSRP MAC Address: Anwani ya MAC ya virtual iliyotolewa kwa router ya mantiki katika usanidi wa HSRP.

• HSRP Virtual IP Address: Anwani ya IP ya virtual ya kundi la HSRP, inayofanya kazi kama lango la default kwa vifaa vilivyounganishwa.

HSRP Versions

HSRP inakuja katika toleo mbili, HSRPv1 na HSRPv2, zinazotofautiana hasa katika uwezo wa kundi, matumizi ya IP ya multicast, na muundo wa anwani ya MAC ya virtual. Protokali hii inatumia anwani maalum za IP za multicast kwa ajili ya kubadilishana taarifa za huduma, huku pakiti za Hello zikitumwa kila sekunde 3. Router inachukuliwa kuwa haifanyi kazi ikiwa hakuna pakiti inayopokelewa ndani ya kipindi cha sekunde 10.

HSRP Attack Mechanism

Mashambulizi ya HSRP yanahusisha kuchukua kwa nguvu jukumu la Router Inayofanya Kazi kwa kuingiza thamani ya kipaumbele cha juu zaidi. Hii inaweza kusababisha shambulizi la Man-In-The-Middle (MITM). Hatua muhimu kabla ya shambulizi ni kukusanya data kuhusu usanidi wa HSRP, ambayo inaweza kufanywa kwa kutumia Wireshark kwa ajili ya uchambuzi wa trafiki.

Steps for Bypassing HSRP Authentication

1. Hifadhi trafiki ya mtandao inayokuwa na data za HSRP kama faili ya .pcap.

tcpdump -w hsrp_traffic.pcap

1. Toa hash za MD5 kutoka kwa faili ya .pcap kwa kutumia hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

1. Fanya crack hash za MD5 kwa kutumia John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Executing HSRP Injection with Loki

1. Anzisha Loki ili kubaini matangazo ya HSRP.

2. Weka kiunganishi cha mtandao katika hali ya promiscuous na kuwezesha IP forwarding.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

1. Tumia Loki kulenga router maalum, ingiza nenosiri la HSRP lililovunjwa, na fanya usanidi unaohitajika ili kujifanya kuwa Router Inayofanya Kazi.

2. Baada ya kupata jukumu la Router Inayofanya Kazi, fanya usanidi wa kiunganishi chako cha mtandao na IP tables ili kukamata trafiki halali.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1. Badilisha jedwali la routing ili kuelekeza trafiki kupitia Router ya zamani Inayofanya Kazi.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

1. Tumia net-creds.py au zana inayofanana kukamata akidi kutoka kwa trafiki iliyokamatwa.

sudo python2 net-creds.py -i eth0

Kutekeleza hatua hizi kunamweka mshambuliaji katika nafasi ya kukamata na kubadilisha trafiki, sawa na utaratibu wa utekaji wa GLBP. Hii inaonyesha udhaifu katika protokali za upungufu kama HSRP na hitaji la hatua thabiti za usalama.

References

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist