Атакува срещу Cisco, подушвайки трафик от рутер
Съдържанието на статията
Помирише трафика от рутер на Cisco
Нека продължим темата, която не се вписва напълно в последното издание на нашия хакбук:). След това обсъдихме темата за последваща експлоатация в случай на изземване на контрол над рутер или комутатор на Cisco и по-конкретно възможността за подушване на трафик, преминаващ през мрежово устройство. В крайна сметка получаваме истински посредник, тъй като трафикът естествено преминава през устройството.
По това време използвахме функцията за вграден пакет за улавяне на пакети, която ни позволи да запазваме пакети. Този метод е ефективен и гъвкав (можете да прецизирате какво да подсмърчате), но има голям недостатък за нас - количеството памет на устройството. Доколкото гугъл, средно е от 128 MB до 2-4 GB. За целите на тестването с точен филтър това може да е достатъчно, но за "бойни условия" едва ли е. За да разрешим този проблем, можем да използваме друга функция - отразяване на трафика (огледално отразяване на портове, мониторинг на портове), когато целият трафик, идващ към един мрежов интерфейс на оборудването, се изпраща непроменен към друг порт.
И така, как да приложим това на практика? Тази функция се нарича износ на IP трафик в рутери на Cisco и е достъпна от IOS 12.3 (4) T. За да го приложим, ни е необходима следната последователност от команди:
Влизаме в конфигурационния режим:
Създайте профил с име TestFF за експортиране на трафик:
Посочваме кой трафик да се експортира (изцяло - двудиректиален, входящ, изходящ):
Следва интерфейсът, от който експортираме:
Излезте от конфигурацията на профила:
Задаваме кои интерфейси искаме да слушаме трафик чрез следните две команди. Първо изберете интерфейса:
Присвояваме създадения профил:
За да спрете да душите, трябва да повторите последните две команди в режим на конфигуриране, но с деактивиран експорт (трябва да добавите не в началото):
Можете да видите статистика за експортиране с командата
Освен това, със същата функция, IP Traffic export, можете да експортирате трафик към NVRAM на рутера, тоест подобно на EPC.
И накрая искам да ви предупредя, че трябва да бъдете по-внимателни с този метод, тъй като, първо, експортирането изразходва определено количество CPU ресурси от рутера, и второ, ако изнасяме целия трафик от гигабитов интерфейс до 100-мегабитова, тогава може да настъпи колапс:).
Хакер # 196. Всичко за Docker
Помирише трафика от комутатор на Cisco
Сега малко за превключвателите. Както вече споменахме, отразяването на трафика е функция, която първоначално е присъща на комутаторите. Официалното име е SPAN (Switched Port Analyzer). Но тук, въпреки че същността е една и съща (трафикът от един интерфейс се прехвърля в друг), той се реализира по различен начин. Превключвателят не извършва никакви замествания на стойностите на заглавките на канали, мрежи или други слоеве в пакети. Те се копират непроменени в друг мрежов интерфейс.
В SPAN има два основни термина: източник - интерфейсите, откъдето се копира трафикът, и дестинацията - където се копира трафикът.
Това се изпълнява в следната последователност:
Влизаме в конфигурационния режим:
Посочваме от кой трафик да слушаме:
Посочваме къде да го изпратим:
Тук е посочен и номерът на сесията. Използва се за групиране на източника и дестинацията, което ни позволява да слушаме на няколко порта едновременно.
Съвсем просто, съгласен?
Но този метод има няколко ограничения. Първо, трябва да сте физически свързани към превключвателя, което не винаги е възможно. На второ място, интерфейсът, посочен като дестинация, спира да работи като нормален порт, тоест за обработка на легитимен трафик от/до нас. И ако ние иззехме контрола върху него чрез SSH например, тогава, ако включим огледално отразяване на трафика към интерфейса, веднага ще загубим контрол. Въпреки че трябва да призная, че поради липсата на достоен превключвател, няма начин да проверите втората точка.
Във всеки случай решението и на двата проблема може да бъде RSPAN (Remote SPAN) или ERSPAN (Encapsulated Remote SPAN) технология. Първият от тях ви позволява да копирате целия трафик в специална VLAN (тоест ние вече можем да бъдем в един и същ мрежов сегмент и да не сме директно свързани). Вторият, поради капсулирането на трафика, позволява трансфер на данни между мрежи (L3). Нямах нищо общо нито с едното, нито с другото, така че ако счупите някой ключ и се окаже, че използвате нещо, ще се радвам да чуя:).
Между другото, в последните няколко броя обсъдихме различни атаки срещу устройства на Cisco, така че ако искате да си поиграете/да ги тествате, можете да го направите, без дори да имате реално устройство. Всичко, от което се нуждаете, е инструментът GNS3, който е емулатор за някои версии на cisochek рутери и защитни стени (ASA, PIX). Безплатно е, така че просто трябва да намерите фърмуера (в Google).
Заобикаляне на ограниченията с маршрутизиране на източника на IP
Но първо нещата първо. Има IP протокол и тази функция първоначално е добавена към него (маршрутизиране на източника). Същността му се състои във факта, че изпращащият хост на пакета има способността да посочва в заглавията на IP дейтаграмата, през които хопове (крайни хостове, мрежово оборудване) трябва да премине този пакет и отговорът към него. Да, да, можем да посочим списък с устройства в пътя на пакета, тоест ние го "маршрутираме".
Освен това има два вида маршрутизиране на източника: строг и свободен. Първият е точна индикация за последователността на хостовете (пакетът трябва да премине и само през тях), вторият е просто списък от хостове, през които пакетът трябва да премине, тоест може да има някои други хостове между тези домакини. Първият тип "първоначално" на практика не се използва, но вторият все още е номинално жив. Максималният брой хмел е девет. На практика тази функция е създадена предимно за тестване на мрежови проблеми, така че да можем да тестваме различни маршрути от нашия хост.