GLBP & HSRP Attacks

Reading time: 7 minutes

FHRP Hijacking Overview

Insights into FHRP

FHRP imeundwa kutoa uimara wa mtandao kwa kuunganisha route nyingi katika kitengo kimoja cha virtual, hivyo kuboresha usambazaji wa mzigo na uvumilivu wa makosa. Cisco Systems ilianzisha protokali maarufu katika seti hii, kama GLBP na HSRP.

GLBP Protocol Insights

Uundaji wa Cisco, GLBP, unafanya kazi kwenye TCP/IP stack, ukitumia UDP kwenye bandari 3222 kwa mawasiliano. Route katika kundi la GLBP hubadilishana pakiti za "hello" kila sekunde 3. Ikiwa router itashindwa kutuma pakiti hizi kwa sekunde 10, inachukuliwa kuwa haipo mtandaoni. Hata hivyo, hizi timers si za kudumu na zinaweza kubadilishwa.

GLBP Operations and Load Distribution

GLBP inajitofautisha kwa kuwezesha usambazaji wa mzigo kati ya route kwa kutumia IP moja ya virtual iliyo na anwani nyingi za MAC za virtual. Katika kundi la GLBP, kila router inahusika katika kupeleka pakiti. Tofauti na HSRP/VRRP, GLBP inatoa usawa halisi wa mzigo kupitia mitindo kadhaa:

• Host-Dependent Load Balancing: Inahifadhi usambazaji wa anwani ya AVF MAC kwa mwenyeji, muhimu kwa usanidi thabiti wa NAT.
• Round-Robin Load Balancing: Njia ya kawaida, ikibadilisha usambazaji wa anwani ya AVF MAC kati ya wenyeji wanaoomba.
• Weighted Round-Robin Load Balancing: Inasambaza mzigo kulingana na viwango vilivyowekwa vya "Weight".

Key Components and Terminologies in GLBP

• AVG (Active Virtual Gateway): Router kuu, inayohusika na kugawa anwani za MAC kwa route wenza.
• AVF (Active Virtual Forwarder): Router iliyopewa kusimamia trafiki ya mtandao.
• GLBP Priority: Kipimo kinachobainisha AVG, ikianza kwa kiwango cha kawaida cha 100 na kuanzia kati ya 1 na 255.
• GLBP Weight: Inaonyesha mzigo wa sasa kwenye router, inayoweza kubadilishwa kwa mikono au kupitia Object Tracking.
• GLBP Virtual IP Address: Inatumika kama lango la kawaida la mtandao kwa vifaa vyote vilivyounganishwa.

Kwa mawasiliano, GLBP inatumia anwani ya multicast iliyohifadhiwa 224.0.0.102 na bandari ya UDP 3222. Route hutuma pakiti za "hello" kila sekunde 3, na zinachukuliwa kuwa hazifanyi kazi ikiwa pakiti itakosa kwa muda wa sekunde 10.

GLBP Attack Mechanism

Mshambuliaji anaweza kuwa router mkuu kwa kutuma pakiti ya GLBP yenye thamani ya kipaumbele ya juu zaidi (255). Hii inaweza kusababisha mashambulizi ya DoS au MITM, ikiruhusu kukamatwa au kuelekezwa kwa trafiki.

Executing a GLBP Attack with Loki

Loki inaweza kufanya shambulizi la GLBP kwa kuingiza pakiti yenye kipaumbele na uzito uliowekwa kuwa 255. Hatua za kabla ya shambulizi zinajumuisha kukusanya taarifa kama anwani ya IP ya virtual, uwepo wa uthibitisho, na thamani za kipaumbele za router kwa kutumia zana kama Wireshark.

Attack Steps:

1. Switch to promiscuous mode and enable IP forwarding.
2. Identify the target router and retrieve its IP.
3. Generate a Gratuitous ARP.
4. Inject a malicious GLBP packet, impersonating the AVG.
5. Assign a secondary IP address to the attacker's network interface, mirroring the GLBP virtual IP.
6. Implement SNAT for complete traffic visibility.
7. Adjust routing to ensure continued internet access through the original AVG router.

By following these steps, the attacker positions themselves as a "man in the middle," capable of intercepting and analyzing network traffic, including unencrypted or sensitive data.

For demonstration, here are the required command snippets:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Maelezo ya Pasif ya HSRP Hijacking na Maelezo ya Amri

Muhtasari wa HSRP (Hot Standby Router/Redundancy Protocol)

HSRP ni protokali ya miliki ya Cisco iliyoundwa kwa ajili ya upungufu wa lango la mtandao. Inaruhusu usanidi wa route nyingi za kimwili kuwa kitengo kimoja cha mantiki chenye anwani ya IP iliyoshirikiwa. Kitengo hiki cha mantiki kinasimamiwa na router kuu inayohusika na kuelekeza trafiki. Tofauti na GLBP, ambayo inatumia vipimo kama kipaumbele na uzito kwa ajili ya usawa wa mzigo, HSRP inategemea router moja inayofanya kazi kwa usimamizi wa trafiki.

Majukumu na Terminolojia katika HSRP

• HSRP Active Router: Kifaa kinachofanya kazi kama lango, kinachosimamia mtiririko wa trafiki.
• HSRP Standby Router: Router ya akiba, tayari kuchukua nafasi ikiwa router inayofanya kazi itashindwa.
• HSRP Group: Seti ya route zinazoshirikiana kuunda router moja thabiti ya virtual.
• HSRP MAC Address: Anwani ya MAC ya virtual iliyotolewa kwa router ya mantiki katika usanidi wa HSRP.
• HSRP Virtual IP Address: Anwani ya IP ya virtual ya kundi la HSRP, inayofanya kazi kama lango la default kwa vifaa vilivyounganishwa.

Matoleo ya HSRP

HSRP inakuja katika matoleo mawili, HSRPv1 na HSRPv2, yanayotofautiana hasa katika uwezo wa kundi, matumizi ya IP ya multicast, na muundo wa anwani ya MAC ya virtual. Protokali hii inatumia anwani maalum za IP za multicast kwa ajili ya kubadilishana taarifa za huduma, huku pakiti za Hello zikitumwa kila sekunde 3. Router inachukuliwa kuwa haifanyi kazi ikiwa hakuna pakiti inayopokelewa ndani ya kipindi cha sekunde 10.

Mekanismu ya Shambulio la HSRP

Shambulio la HSRP linahusisha kuchukua kwa nguvu jukumu la Router Inayofanya Kazi kwa kuingiza thamani ya kipaumbele ya juu zaidi. Hii inaweza kusababisha shambulio la Man-In-The-Middle (MITM). Hatua muhimu kabla ya shambulio ni pamoja na kukusanya data kuhusu usanidi wa HSRP, ambayo inaweza kufanywa kwa kutumia Wireshark kwa ajili ya uchambuzi wa trafiki.

Hatua za Kupita HSRP Authentication

1. Hifadhi trafiki ya mtandao inayojumuisha data za HSRP kama faili ya .pcap.

tcpdump -w hsrp_traffic.pcap

2. Toa MD5 hashes kutoka kwa faili ya .pcap kwa kutumia hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

3. Crack MD5 hashes kwa kutumia John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Kutekeleza HSRP Injection kwa kutumia Loki

1. Anzisha Loki ili kubaini matangazo ya HSRP.
2. Weka kiunganishi cha mtandao katika hali ya promiscuous na kuwezesha IP forwarding.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

3. Tumia Loki kulenga router maalum, ingiza nenosiri la HSRP lililovunjwa, na fanya usanidi unaohitajika ili kujifanya kuwa Router Inayofanya Kazi.
4. Baada ya kupata jukumu la Router Inayofanya Kazi, weka kiunganishi chako cha mtandao na IP tables ili kukamata trafiki halali.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

5. Badilisha jedwali la routing ili kuelekeza trafiki kupitia Router ya zamani Inayofanya Kazi.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

6. Tumia net-creds.py au chombo kinachofanana kukamata akidi kutoka kwa trafiki iliyokamatwa.

sudo python2 net-creds.py -i eth0

Kutekeleza hatua hizi kunamweka mshambuliaji katika nafasi ya kukamata na kubadilisha trafiki, sawa na utaratibu wa GLBP hijacking. Hii inaonyesha udhaifu katika protokali za upungufu kama HSRP na hitaji la hatua thabiti za usalama.

Marejeo

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9