Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
FHRP (First Hop Redundancy Protocol) — это семейство протоколов, обеспечивающих избыточность сетевого шлюза. Общая идея заключается в том, чтобы объединить несколько физических маршрутизаторов в один логический с общим IP-адресом. Этот адрес виртуального маршрутизатора будет назначаться на интерфейс маршрутизатора с главенствующей ролью, а тот, в свою очередь, займется форвардингом трафика. Самые популярные протоколы класса FHRP — это HSRP и VRRP, о них мы сегодня и поговорим.
Протокол HSRP (Hot Standby Router Protocol) — это один из протоколов класса FHRP, позволяющих организовать систему отказоустойчивости шлюзов. Разработан инженерами Cisco Systems и работает только на сетевом оборудовании Cisco. Протокол реализован поверх стека TCP/IP и использует в качестве трансляции служебной информации протокол UDP на порте 1985.
Суть конфигурации HSRP заключается в том, чтобы объединить маршрутизаторы в одну логическую группу HSRP-маршрутизаторов под специальным числовым идентификатором. В самой группе HSRP образуется логический маршрутизатор, который получит виртуальный IP-адрес. А тот, в свою очередь, будет назначаться как шлюз по умолчанию для конечных хостов.
Маршрутизаторы, на которых функционирует HSRP, для обмена служебной информацией используют так называемые Hello-пакеты. С их помощью устройства общаются между собой, проводят выборы и сообщают друг другу о своем состоянии.
По умолчанию активный маршрутизатор каждые три секунды рассылает Hello-сообщение, которое звучит как «Парни, я еще в строю». Однако если в течение десяти секунд Standby-маршрутизатор не получает ни одного Hello-сообщения от Active-маршрутизатора, то он посчитает, что активный маршрутизатор «упал», и возьмет на себя его роль, исходя из значений приоритета.
У протокола HSRP есть две версии — HSRPv1 и HSRPv2. Они отличаются следующими параметрами:
224.0.0.2
, а HSRPv2 — 224.0.0.102
;00:00:0C:07:AC:XX
. У HSRPv2 виртуальный MAC-адрес 00:00:0C:9F:FX:XX
(где XX — это номер группы HSRP).В рамках группы HSRP есть несколько сущностей:
VRRP (Virtual Router Redundancy Protocol) — протокол, разработанный в качестве более свободной альтернативы протоколу HSRP. Но поскольку он основан на феноменах протокола HSRP, с его «открытостью и свободой» есть некоторые нюансы, так что полностью свободным его не назвать. VRRP почти ничем не отличается от HSRP, выполняет те же самые функции, и в его домене абсолютно те же сущности, только называются они иначе.
В случае HSRP объявления генерировал не только Active-роутер, но и Standby-роутер. В случае VRRP выполнять рассылку объявлений будет только Master-маршрутизатор на зарезервированный групповой адрес 224.
. По умолчанию пакеты приветствия VRRP рассылаются каждую секунду.
У протокола две версии — VRRPv2 и VRRPv3.
00:00:5E:01:XX
). Вместо XX
— номер группы VRRP.В рамках протоколов FHRP выбор главенствующей роли маршрутизатора основывается на значении приоритета. По умолчанию в момент конфигурации на всех маршрутизаторах значение эквивалентно 100 единицам. Максимальное же значение приоритета лежит в диапазоне от 1 до 255 (для VRRP этот диапазон составляет от 1 до 254).
Если администратор не позаботился о ручной конфигурации значения приоритета на маршрутизаторах, главным маршрутизатором станет тот, у которого наибольший IP-адрес. Инженер с помощью конфигурации значения приоритета сам решает, кто будет активным маршрутизатором, а кто — резервным.
Техника этой сетевой атаки заключается в том, чтобы навязать свое устройство в качестве главного маршрутизатора с помощью инъекции HSRP- или VRRP-пакета с максимальным значением приоритета. Успешная эксплуатация приводит к MITM-атаке, в результате которой ты сможешь перехватить весь трафик внутри сети, провести редирект или вызвать DoS. Достаточно собрать HSRP- или VRRP-пакет с наивысшим значением приоритета 255 и направить его в сторону локальной сети. Согласись, не слишком сложно.
Так как во время атаки на FHRP надо взаимодействовать с легитимными маршрутизаторами — шлюзами по умолчанию для конечных хостов, необходимо очень быстро выполнять все свои действия, начиная от инъекции и заканчивая организацией форвардинга всего трафика на стороне твоей машины. Если будешь медлить во время проведения атаки, конечные хосты словят DoS — твой заказчик такой сценарий не оценит.
|
|