GLBP & HSRP Attacks

Unterstützen Sie HackTricks

FHRP Hijacking Überblick

Einblicke in FHRP

FHRP ist darauf ausgelegt, Netzwerkrobustheit zu bieten, indem mehrere Router zu einer einzigen virtuellen Einheit zusammengeführt werden, um die Lastenverteilung und Ausfallsicherheit zu verbessern. Cisco Systems hat prominente Protokolle in dieser Suite eingeführt, wie z.B. GLBP und HSRP.

GLBP Protokoll Einblicke

Ciscos Kreation, GLBP, funktioniert auf dem TCP/IP-Stack und nutzt UDP auf Port 3222 für die Kommunikation. Router in einer GLBP-Gruppe tauschen "hello"-Pakete in 3-Sekunden-Intervallen aus. Wenn ein Router es versäumt, diese Pakete 10 Sekunden lang zu senden, wird davon ausgegangen, dass er offline ist. Diese Timer sind jedoch nicht festgelegt und können geändert werden.

GLBP Operationen und Lastverteilung

GLBP zeichnet sich dadurch aus, dass es die Lastenverteilung über Router mithilfe einer einzigen virtuellen IP in Verbindung mit mehreren virtuellen MAC-Adressen ermöglicht. In einer GLBP-Gruppe ist jeder Router am Paketweiterleitungsprozess beteiligt. Im Gegensatz zu HSRP/VRRP bietet GLBP echtes Lastenausgleich durch verschiedene Mechanismen:

  • Host-abhängiger Lastenausgleich: Behält die Zuweisung einer konsistenten AVF-MAC-Adresse an einen Host bei, was für stabile NAT-Konfigurationen unerlässlich ist.

  • Round-Robin-Lastenausgleich: Der Standardansatz, der die Zuweisung von AVF-MAC-Adressen abwechselnd unter den anfragenden Hosts durchführt.

  • Gewichteter Round-Robin-Lastenausgleich: Verteilt die Last basierend auf vordefinierten "Gewichts"-Metriken.

Schlüsselkomponenten und Begriffe in GLBP

  • AVG (Active Virtual Gateway): Der Hauptrouter, der für die Zuweisung von MAC-Adressen an Peer-Router verantwortlich ist.

  • AVF (Active Virtual Forwarder): Ein Router, der zur Verwaltung des Netzwerkverkehrs bestimmt ist.

  • GLBP-Priorität: Eine Metrik, die den AVG bestimmt, beginnend mit einem Standardwert von 100 und im Bereich von 1 bis 255.

  • GLBP-Gewicht: Spiegelt die aktuelle Last auf einem Router wider, die entweder manuell oder durch Objektverfolgung angepasst werden kann.

  • GLBP-Virtuelle IP-Adresse: Dient als Standard-Gateway des Netzwerks für alle verbundenen Geräte.

Für Interaktionen verwendet GLBP die reservierte Multicast-Adresse 224.0.0.102 und den UDP-Port 3222. Router senden "hello"-Pakete in 3-Sekunden-Intervallen und gelten als nicht betriebsbereit, wenn ein Paket über einen Zeitraum von 10 Sekunden verpasst wird.

GLBP Angriffsmechanismus

Ein Angreifer kann zum primären Router werden, indem er ein GLBP-Paket mit dem höchsten Prioritätswert (255) sendet. Dies kann zu DoS- oder MITM-Angriffen führen, die das Abfangen oder Umleiten von Datenverkehr ermöglichen.

Ausführen eines GLBP-Angriffs mit Loki

Loki kann einen GLBP-Angriff durchführen, indem ein Paket mit einer Priorität und einem Gewicht von 255 eingespeist wird. Vor dem Angriff sind Schritte wie das Sammeln von Informationen wie der virtuellen IP-Adresse, der Authentifizierungspräsenz und den Router-Prioritätswerten mithilfe von Tools wie Wireshark erforderlich.

Angriffsschritte:

  1. Wechseln Sie in den Promiskuitivmodus und aktivieren Sie die IP-Weiterleitung.

  2. Identifizieren Sie den Zielrouter und rufen Sie dessen IP ab.

  3. Generieren Sie eine Gratuits-ARP.

  4. Injizieren Sie ein bösartiges GLBP-Paket, das den AVG imitiert.

  5. Weisen Sie dem Netzwerkinterface des Angreifers eine sekundäre IP-Adresse zu, die der GLBP-Virtual-IP entspricht.

  6. Implementieren Sie SNAT für eine vollständige Traffic-Sichtbarkeit.

  7. Passen Sie das Routing an, um weiterhin den Internetzugriff über den ursprünglichen AVG-Router zu gewährleisten.

Durch Befolgen dieser Schritte positioniert sich der Angreifer als "Man in the Middle", der in der Lage ist, den Netzwerkverkehr abzufangen und zu analysieren, einschließlich unverschlüsselter oder sensibler Daten.

Für die Demonstration sind hier die erforderlichen Befehlsschnipsel:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Passive Erklärung des HSRP-Hijackings mit Befehlsdetails

Überblick über HSRP (Hot Standby Router/Redundancy Protocol)

HSRP ist ein von Cisco entwickeltes Protokoll für die Redundanz des Netzwerkgateways. Es ermöglicht die Konfiguration mehrerer physischer Router zu einer einzigen logischen Einheit mit einer gemeinsamen IP-Adresse. Diese logische Einheit wird von einem primären Router verwaltet, der für die Weiterleitung des Datenverkehrs verantwortlich ist. Im Gegensatz zu GLBP, das Metriken wie Priorität und Gewicht für die Lastverteilung verwendet, verlässt sich HSRP auf einen einzigen aktiven Router für das Traffic-Management.

Rollen und Terminologie in HSRP

  • HSRP Active Router: Das Gerät, das als Gateway fungiert und den Datenverkehrsfluss verwaltet.

  • HSRP Standby Router: Ein Backup-Router, der bereit ist, die Rolle des aktiven Routers zu übernehmen, falls dieser ausfällt.

  • HSRP-Gruppe: Eine Gruppe von Routern, die zusammenarbeiten, um einen einzigen widerstandsfähigen virtuellen Router zu bilden.

  • HSRP MAC-Adresse: Eine virtuelle MAC-Adresse, die dem logischen Router im HSRP-Setup zugewiesen ist.

  • HSRP Virtuelle IP-Adresse: Die virtuelle IP-Adresse der HSRP-Gruppe, die als Standardgateway für verbundene Geräte fungiert.

HSRP-Versionen

HSRP gibt es in zwei Versionen, HSRPv1 und HSRPv2, die sich hauptsächlich in der Gruppenkapazität, der Verwendung von Multicast-IP und der Struktur der virtuellen MAC-Adresse unterscheiden. Das Protokoll verwendet spezifische Multicast-IP-Adressen für den Austausch von Dienstinformationen, wobei Hello-Pakete alle 3 Sekunden gesendet werden. Ein Router gilt als inaktiv, wenn innerhalb eines Intervalls von 10 Sekunden kein Paket empfangen wird.

HSRP-Angriffsmechanismus

HSRP-Angriffe beinhalten das gewaltsame Übernehmen der Rolle des aktiven Routers durch das Einspritzen eines maximalen Prioritätswerts. Dies kann zu einem Man-In-The-Middle (MITM)-Angriff führen. Wesentliche Vor-Angriffsschritte umfassen das Sammeln von Daten über das HSRP-Setup, was mit Wireshark für die Traffic-Analyse durchgeführt werden kann.

Schritte zum Umgehen der HSRP-Authentifizierung

  1. Speichern Sie den Netzwerkverkehr, der HSRP-Daten enthält, als .pcap-Datei.

tcpdump -w hsrp_traffic.pcap
  1. Extrahieren Sie MD5-Hashes aus der .pcap-Datei mithilfe von hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Knacken Sie die MD5-Hashes mit John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Ausführen von HSRP-Injektion mit Loki

  1. Starten Sie Loki, um HSRP-Anzeigen zu identifizieren.

  2. Setzen Sie die Netzwerkschnittstelle in den Promiscuous-Modus und aktivieren Sie IP-Weiterleitung.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Verwenden Sie Loki, um den spezifischen Router anzugreifen, geben Sie das geknackte HSRP-Passwort ein und führen Sie die erforderlichen Konfigurationen durch, um den aktiven Router zu imitieren.

  2. Nachdem Sie die Rolle des aktiven Routers übernommen haben, konfigurieren Sie Ihre Netzwerkschnittstelle und IP-Tabellen, um den legitimen Datenverkehr abzufangen.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Ändern Sie die Routing-Tabelle, um den Datenverkehr über den ehemaligen aktiven Router zu leiten.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Verwenden Sie net-creds.py oder ein ähnliches Dienstprogramm, um Anmeldeinformationen aus dem abgefangenen Datenverkehr zu erfassen.

sudo python2 net-creds.py -i eth0

Durch die Ausführung dieser Schritte kann der Angreifer in die Lage versetzt werden, den Datenverkehr abzufangen und zu manipulieren, ähnlich dem Verfahren für das GLBP-Hijacking. Dies verdeutlicht die Schwachstelle in Redundanzprotokollen wie HSRP und die Notwendigkeit robuster Sicherheitsmaßnahmen.

Last updated