HSRP-/VRRP-Angriff
Was ist HSRP-/VRRP-Angriff?
HSRP-/VRRP-AngriffAngriff, der gefälschte HSRP- oder VRRP-Nachrichten mit höherer Priorität einspeist, um zum aktiven Gateway eines Subnetzes zu werden und Traffic abzufangen.
HSRP (Cisco Hot Standby Router Protocol) und der IETF-Standard VRRP (Virtual Router Redundancy Protocol) bieten First-Hop-Redundanz, indem ein Aktiver/Master-Router gewählt wird, dem die virtuelle IP gehört. Beide nutzen Multicast-Hellos, deren Wahl die Priorität entscheidet. Ein Angreifer im LAN, der mit Yersinia oder scapy HSRP/VRRP-Frames mit Priorität 255 sendet, übernimmt die Rolle und leitet den gesamten Default-Route-Traffic des Subnetzes über seinen Host – ideal für MITM, Mirroring oder selektives Blackholing. HSRPv1 nutzt standardmäßig MD5 mit "cisco"; VRRPv2 unterstützt Klartext oder MD5. Abwehr: starke Authentifizierung (MD5-Key-Chain oder VRRPv3 mit IPsec), ACLs zur Filterung von HSRP/VRRP-Multicast an User-Ports, Monitoring von Prioritätsänderungen, Segmentierung der User-VLANs gegenüber Infrastruktur-Protokollen.
● Beispiele
- 01
Yersinia-HSRP-Angriff mit Priority-255-Hellos, der Active im HSRP-Group des VLAN 10 wird.
- 02
VRRP-Advertisement mit Priority 255, das Master übernimmt und Gateway-Traffic auf den Angreifer leitet.
● Häufige Fragen
Was ist HSRP-/VRRP-Angriff?
Angriff, der gefälschte HSRP- oder VRRP-Nachrichten mit höherer Priorität einspeist, um zum aktiven Gateway eines Subnetzes zu werden und Traffic abzufangen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet HSRP-/VRRP-Angriff?
Angriff, der gefälschte HSRP- oder VRRP-Nachrichten mit höherer Priorität einspeist, um zum aktiven Gateway eines Subnetzes zu werden und Traffic abzufangen.
Wie funktioniert HSRP-/VRRP-Angriff?
HSRP (Cisco Hot Standby Router Protocol) und der IETF-Standard VRRP (Virtual Router Redundancy Protocol) bieten First-Hop-Redundanz, indem ein Aktiver/Master-Router gewählt wird, dem die virtuelle IP gehört. Beide nutzen Multicast-Hellos, deren Wahl die Priorität entscheidet. Ein Angreifer im LAN, der mit Yersinia oder scapy HSRP/VRRP-Frames mit Priorität 255 sendet, übernimmt die Rolle und leitet den gesamten Default-Route-Traffic des Subnetzes über seinen Host – ideal für MITM, Mirroring oder selektives Blackholing. HSRPv1 nutzt standardmäßig MD5 mit "cisco"; VRRPv2 unterstützt Klartext oder MD5. Abwehr: starke Authentifizierung (MD5-Key-Chain oder VRRPv3 mit IPsec), ACLs zur Filterung von HSRP/VRRP-Multicast an User-Ports, Monitoring von Prioritätsänderungen, Segmentierung der User-VLANs gegenüber Infrastruktur-Protokollen.
Wie schützt man sich gegen HSRP-/VRRP-Angriff?
Schutzmaßnahmen gegen HSRP-/VRRP-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HSRP-/VRRP-Angriff?
Übliche alternative Bezeichnungen: HSRP-Hijack, VRRP-Hijack, First-Hop-Redundanz-Angriff.
● Verwandte Begriffe
- attacks№ 1072
Spanning-Tree-Protokoll-Angriff
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 944
Rogue-DHCP-Server
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.