Снифим трафик с роутера Cisco

Атаки на Cisco: cниффинг трафика с роутера/свича, обход IP Source Routing, атаки на роутеры через NAT-PMP

Снифим трафик с роутера Cisco

Продолжим тему, которая не влезла полностью в прошлый выпуск нашего хакбука:). Тогда мы обсуждали тему постэксплуатации в случае захвата контроля над Cisco роутером или свичем, а конкретнее — возможность снифа трафика, проходящего через сетевой девайс. Ведь у нас получается реальный man-in-the-middle, так как трафик естественным образом проходит через устройство.

В тот раз мы использовали фичу роутера Embedded Packet Capture, которая позволяла нам сохранять пакеты. Способ это действенный и гибкий (можно тонко настроить, что снифать), но имеет большой недостаток для нас — объем памяти девайса. Насколько мне нагуглилось, это в среднем от 128 Мб до 2–4 Гб. Для целей тестирования при точном фильтре этого может и хватить, но для «боевых условий» уже вряд ли. Для решения этой проблемы мы можем использовать другую фичу — зеркалирование трафика (port mirroring, port monitoring), когда весь трафик, приходящий на один сетевой интерфейс оборудования, в неизмененном виде отправляется на другой порт.

Изначально эта возможность идет от свичей (у которых портов обычно много), но это организовать можно и на роутере (даже если у него один физический порт), перекидывая трафик в какой-то VLAN например. При этом роутер оставляет данные IP-уровня и выше в неизменном виде, а вот данные канального уровня меняет, так как должен указать MAC-адрес устройства, которое уже будет «принимать» трафик.

Итак, как же нам это реализовать на практике? Возможность эта в роутерах Cisco называется IP Traffic export и доступна с версии IOS 12.3(4)T. Для ее реализации нам потребуется такая последовательность команд:

Входим в конфигурационный режим:

Conf term

Создаем профиль с именем TestFF для экспорта трафика:

ip traffic-export profile TestFF mode export

Указываем, какой трафик экспортировать (весь — bidirectianal, входящий, исходящий):

Bidirectional

Далее — интерфейс, куда экспортируем:

interface fastEthernet 0/0

И последнее, что нужно для профиля, — MAC-адрес устройства, куда отправлять трафик:

mac-address 5427.1E0C.45B1

Выходим из конфигурации профиля:

Exit

Задаем, на каких интерфейсах мы хотим слушать трафик, следующими двумя командам. Сначала выбираем интерфейс:

interface fastEthernet 1/0

Назначаем созданный профиль:

ip traffic-export apply TestFF

В примере мы весь трафик с интерфейса fastEthernet 1/0 перекидываем на fastEthernet 0/0. При этом наш хост, где мы уже фактически будем снифать трафик, может быть не напрямую подсоединен к fastEthernet 0/0, а через свичи, то есть главное — быть в одном сетевом сегменте. Достигается это за счет того, что роутер как раз подменяет канальный уровень, указывая в поле назначения наш MAC-адрес, который уже нормально обрабатывают промежуточные свичи. В качестве MAC-адреса отправителя роутер указывает свой (выходного интерфейса).

Чтобы остановить сниф, необходимо повторить последние две команды в режиме конфигурации, но уже с отключением экспорта (надо добавить no в начале):

interface fastEthernet 1/0

no ip traffic-export apply TestFF

Посмотреть статистику по экспорту можно командой

show ip traffic-export

Кроме того, этой же возможностью, IP Traffic export, можно экспортировать трафик в NVRAM роутера, то есть аналогично EPC.

И в конце хочу предупредить, что с этим способом необходимо быть осторожнее, так как, во-первых, экспорт затрачивает некоторое количество ресурсов CPU у роутера, а во-вторых, если мы будем экспортировать весь трафик с гигабитного интерфейса на 100-мегабитный, то может возникнуть коллапс:).

Пример конфига при экспорте трафика с FF 1/0 на FF 0/0

Поиск по сайту: