应用被入侵的路由器获取收集流量(1)

0x00 前言

现在，对终端路由器停止流量劫持的方式很多，如DNS劫持等等，然而根据不同的渗透场景，如对电信级别的构造停止大范围攻打时，利用被入侵的路由器停止流量重定向则会显得更加高效。这种类似“核攻打”的攻打方式会导致X州市数字电视一样的后果。

原文地址：https://dl.packetstormsecurity.net/papers/routing/GRE_sniffing.doc

0x01 介绍

这篇文档详细描述了在最近实验中，应用边界路由器作为工具来捕捉收集流量的方式 、步骤以及结果。

在渗透测试场景中，人们经常会入侵一个构造的边缘路由器。这些路由器往往部署在公司防火墙外，而且缺乏保护。在某些情况下，被入侵的路由器可能会成为进一步攻打目的收集的一个跳板，然而真正的价值用被掌握的路由器用来嗅探构造内部收支的收集流量。

这种应用GRE地道和策略路由的技术最早在Phrack由Gauis发表的第56篇文章“Things to do in Cisco Land when you are dead” (https://www.phrack.com/show.php?p=56&a=10)，Gauis的方式应用tcpdump修改的proof-of-concept(poc)程序，来在被嗅探的路由器和一台Linux之间树立一条GRE地道。

而Joshua Wright在他为SANS GCIH的实用鉴定课程中写的的论文：“Red Team Assessment of Parliament Hill Firewall”中应用了另一种方式，Joshua应用了另外一台思科路由器闭幕了GRE地道，但他只设法捕捉到一个方向的流量：从该构造出站方向的流量。

在本次这个实验中扩展了Joshua的方式，同样应用另外一台思科路由器来闭幕GRE地道，然而从构造中透明地捕捉到了收支的流量。对这个技术停止扩展的主要因素是为了最少停止软件定制以及组件的需要。

特别感谢Darren Pedley(Darren.Pedley@alphawest6.com.au)对路由器设置的协助以及对整个实验完整的检查。

0x02 方式

所选择的方式是，在目的路由器(“Target router”)和被黑客控制的旁边路由器(“Attacker router”)之间树立GRE地道。应用策略路由来把该构造中收支的流量经由GRE地道重定向到旁边路由器(Attacker router)中。流量在最终被目的路由器(Target router)传送之前，就曾经被黑客控制的旁边路由器(Attacker router)处置过了。

本次测试了两种场景。第一个场景，被捕捉的流量只是被旁边路由器通 “反射”进了GRE地道，如图1。这种方式有一个好处就是在路由器上设置简单，然而介绍以下出现的问题：

为了方便捕捉数据流量，必需嗅探旁边路由器外端的端口(即旁边路由器的tunnle地道上的物理接口)。这种方式在非以太收集媒介中会难以实现。

被捕捉的流量是经由GRE报文封装的，就必需在执行IP解码之前对流量停止解封装。

1