RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

VRRP протокол

 Бесплатная консультация специалиста
Loading…
 
Некоторые интересные мысли по поводу VRRP протокола

1.Overview

Представим что у нас есть некоторая сетка, прикрученная к инету, весь траффик идет через роутер. В результате какой-нибудь кульхацкерской атаки или из-за кривых рук админа роутер падает. Предположим что админ не дурак, а босс у него не жмот и таких роутеров у него два, ситуация проще. А теперь представим что это в результате падения роутеров весь роутинг настраивается сам... И это волшебная палка называется VRRP-Virtual Routing Redundancy Protocol

 Суть этого протокола в следующем:

- cоздаются виртуальные рутеры,каждый из которых имеет уникальный VRID и IP-адрес

- из VRRP-рутеров выбирается мастер,все остальные становятся бекапными

- мастер передает информацию из одной ipсети в другую,слейвы следят за состоянием главного

- при выходе из строя мастера, один из слейвов присваетвает IP адрес мастера и начинает обрабатывать траффик.

Теперь гипотетическая ситуация, под контролем имеется бекапный рутер.Соответственно для того чтобы перехватить траффик нужно каким-то образом сделатся мастером.

Формат пакета VRRP

Для взаимодействия между собой VRRP-маршрутизаторы используют специальные пакеты, по терминологии этого протокола именуемые объявлениями. С целью уменьшения объема служебной информации, создающей дополнительную нагрузку на сеть, объявления передает только главный виртуальный маршрутизатор. Основные поля объявления VRRP имеют следующие значения:

Версия. Определяет версию протокола VRRP. В настоящее время описана только версия 2 (IETF RFC 2338).

Тип. Определяет тип VRRP-пакета. Версия 2 протокола VRRP поддерживает только тип пакета 1.

VRID. Идентификатор виртуального маршрутизатора. Это поле определяет, к какому виртуальному маршрутизатору относится данное объявление.

Приоритет. Указывает приоритет VRRP-маршрутизатора, пославшего данное объявление. Боўльшая величина соответствует большему приоритету. Приоритет VRRP-маршрутизатора, являющегося собственником IP-адреса, равен 255. Резервные VRRP-маршрутизаторы используют приоритеты от 1 до 254 (по умолчанию принимается значение 100). Значение приоритета 0 используется для принудительного перевода подчиненного виртуального маршрутизатора в состояние главного.

Число IP-адресов. Определяет число IP-адресов, приписанных виртуальному маршрутизатору. Эти адреса содержатся в полях “IP-адрес(а)”.

Тип авторизации. Это поле может принимать следующие значения:

0 — нет авторизации

1 — простой текстовый пароль

2 — авторизация через заголовок IP.

В случае установления нулевого значения весь обмен служебной информацией происходит без авторизации. Значения полей “Данные авторизации” при передаче устанавливаются в ноль, и при приеме они игнорируются. Если тип авторизации равен “1”, то в полях “Данные авторизации” передается пароль. Принимающий VRRP-маршрутизатор сравнивает этот пароль с тем, что указан ему в процессе конфигурирования, и при несовпадении паролей игнорирует объявление. При последнем типе авторизации VRRP-маршрутизаторы используют механизмы авторизации через заголовок IP, в этом случае поле “Данные авторизации” не рассматривается.

Интервал объявлений. Определяет интервал между объявлениями в секундах (по умолчанию этот параметр равен 1 с).

Контрольная сумма. Используется для контроля целостности объявления. При передаче объявления VRRP-маршрутизатор должен выполнить следующие действия:

· заполнить поля объявления величинами, соответствующими настройкам виртуального маршрутизатора;

· вычислить контрольную сумму и поместить ее в объявление;

· установить МАС-адрес виртуального маршрутизатора в поле МАС-адреса источника пакета;

· установить IP-адрес своего интерфейса в поле IP-адреса источника пакета;

· установить тип IP-пакета 112 (зарезервирован для протокола VRRP);

· передать VRRP-пакет по адресу 224.0.0.8 (адрес массовой рассылки, зарезервированный для VRRP-объявлений).

МАС-адрес виртуального маршрутизатора определяется автоматически при настройке VRRP и соответствует стандарту IEEE. Формат этого адреса следующий: первые три октета определяют производителя устройства, два последующих — имеют фиксированное значение 00-01, и последний октет содержит идентификатор VRID. Таким образом, в сети может быть до 256 виртуальных маршрутизаторов. При получении VRRP-пакета маршрутизатор проверяет версию VRRP, контрольную сумму объявления и при необходимости производит авторизацию. Далее он сверяет VRID и IP-адрес виртуального маршрутизатора, указанные в объявлении, со своими настройками. При любом несоответствии параметров объявление будет игнорировано. В зависимости от реализации протокола VRRP на конкретном оборудовании сообщения об ошибках могут заноситься в журнал или передаваться станции управления.

Состояния VRRP-маршрутизаторов

Во время работы VRRP-маршрутизатор может находиться в трех состояниях: инициализация; главный виртуальный маршрутизатор; подчиненный виртуальный маршрутизатор. Рассмотрим все эти состояния последовательно.

Инициализация. Это первая стадия, которую проходит маршрутизатор после настройки протокола VRRP. Во время инициализации он сравнивает IP-адрес виртуального маршрутизатора с адресом своего интерфейса. Если они совпадают, маршрутизатор переходит в состояние “Главный виртуальный маршрутизатор”. Он выставляет свой приоритет равным 255 и посылает объявление, декларируя себя главным. Кроме того, он отправляет широковещательный ARP-пакет с МАС- и IP-адресами виртуального маршрутизатора и запускает таймер объявлений. Если адреса не совпадают, а приоритет находится в интервале между 0 и 255, то устройство переходит в состояние “Подчиненный виртуальный маршрутизатор” и запускает таймер контроля состояния главного виртуального маршрутизатора.

Главный виртуальный маршрутизатор. В этом состоянии VRRP-маршрутизатор отвечает на ARP-запросы, адресованные виртуальному маршрутизатору, и маршрутизирует пакеты, переданные на МАС-адрес виртуального маршрутизатора. Кроме того, он регулярно посылает объявления. Следует отметить, что главный виртуальный маршрутизатор будет обрабатывать пакеты, посланные на IP-адрес виртуального маршрутизатора, только если он является собственником этого адреса; не являясь таковым, он проигнорирует их. Если главный виртуальный маршрутизатор получает объявление, в котором указан приоритет выше его собственного или, при равенстве приоритетов, IP-адрес отправителя больше его собственного, то он переходит в состояние “Подчиненный виртуальный маршрутизатор” и запускает таймер контроля состояния главного виртуального маршрутизатора. Все объявления с меньшим приоритетом или объявления, полученные от устройства с меньшим IP-адресом, главный виртуальный маршрутизатор игнорирует.

Подчиненный виртуальный маршрутизатор. В этом состоянии VRRP-маршрутизатор контролирует состояние главного маршрутизатора и, пока тот функционирует, не отвечает на ARP-запросы и игнорирует пакеты, адресованные виртуальному маршрутизатору. При получении объявления от главного виртуального маршрутизатора он каждый раз перезапускает свой таймер контроля состояния. Подчиненный виртуальный маршрутизатор становится главным в двух случаях: если получает объявление от главного с приоритетом “0” или вообще перестает получать от него объявления. С каждым полученным объявлением в таймер контроля состояния записывается стартовое значение, равное (в секундах): 3 интервала объявления + (256 – приоритет маршрутизатора)/256. Следовательно, если в нашем примере (см. рис. 1) при настройке VRRP все параметры оставить по умолчанию, то работоспособность виртуального маршрутизатора восстановится менее чем за четыре секунды.

Рассмотрим пакетики 01:19:54 Время посылки пакета bis.ru хост с которого идет бкаст VRRP.MCAST.NET -зарезервированный хост на который шлются широковещательные vrrp пакеты (224.0.0.8) VRRPv2 версия протокола vrrp vrid=9 Идентификатор виртуального роутера prio=40 приоритет роутера пославшего пакет, диапазон от 1-254,чем больше номер тем выше приоритет. authtype=1 Тип авторизации. 0-без авторизации 1-plain text 2 Через заголовок IP intvl=3 интервал обьявлений в секундах по дефолту -0 zaebca-хост или айпи-адрес(а) который(е) прилинкованы к интерфейсу ttl 255-TTL, равен 255 всегда по дефолту.Более того если в пакете указано другое значение ttl,то пакет дискардится рутером и отбрасывается. Теперь разберемся что мы отсниффали: vrid=3,vrid=9 - весьма интересно...это говорит как минимум о том что есть как минимум два физических рутера,а в перспективе около 5.Также возможна ситуация когда применяется схема с распределением нагрузки. 0x0020 7365 6372 6574 0000 0000 34b0 9f8d secret....4... Смотрим в Тип авторизации-tcpdump услужливо подскзывает-1, то есть plain text. Magik word здесь-secret.. Существует несколько ситуаций при которых бекуп становится мастером: ..)Мастер перестает рассылать бикастные vrrp пакеты. В нашем случае пакеты шлются через каждые 3 секунды.Что можно придумать? Если имеется под контролем тачечка,которая в свою очередь является бекупом, то банальный дос мастера, чуть больше 3 секунд,и все...Канал перехвачен все танцуют...Более сложная ситуация когда бекупов несколько,и тот который под контролем-самый последний.Для тех кто любит вешать сетки есть предложение досить рутеры по очереди ;D Рано или поздно все будет гуд, или админ просечет и выгонит из сетки. Теперь немного более интересный вариант,а что если попробовать назначить бекупный рутер мастером самому?То есть послать пакетик от имени мастера, и назначить свой слейв мастером. Лезем в rfc: 5.3.4 Priority The priority field specifies the sending VRRP router's priority for the virtual router. Higher values equal higher priority. This field is an 8 bit unsigned integer field. The priority value for the VRRP router that owns the IP address(es) associated with the virtual router MUST be 255 (decimal). VRRP routers backing up a virtual router MUST use priority values between 1-254 (decimal). The default priority value for VRRP routers backing up a virtual router is 100 (decimal). The priority value zero (0) has special meaning indicating that the current Master has stopped participating in VRRP. This is used to trigger Backup routers to quickly transition to Master without having to wait for the current Master to timeout. Последний абзац... То есть мы можем послать пакетик в поле Priority котором будет стоять 0,и самим назначить бекуп мастером...Интересная идея? Не так ли? В принципе долго ходить не надо было-я пошел на freebsd.org и скачал себе vrrpd

Скачиваем,компилим,юзаем.Что нам нужно для того чтобы послать правильный пакет? Нам нужно заполнить ВСЕ(это важно,а то пакет будет дискардится) поля пакета данными (структура выше).И еще нам нужно знать password-в нашем случае это secret. Дальнейшие этапы я описывать не буду, слишком все просто, ставьте луникс или бсд,качайте vrrpd,tcpdump и вперед.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Магазин цифровой техники | Новинки магазина | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  http://www.t-g.ru/ режущие плоттеры купить цены.  |  |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | RDRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 

po gonn © 2004