Espiar en IOS con un parametro oculto

( redes / cisco / ios )

Hay un parámetro oculto que según cisco:

the dump keyword is not fully supported and should be used only in collaboration with Cisco Technical Support. Because of the risk of using significant CPU utilization, the dump keyword is hidden from the user and cannot be seen using the "?" prompt.

No aconsejo usar este parámetro porque consume mucha CPU y saca demasiado información, pero si que es curioso su disponibilidad.

Y para mostrar su uso y ejemplo lo mejor es montar un pequeñísimo laboratorio con GNS3 así nos acostumbramos a usarlo. Para empezar seguimos los pasos que ya expliqué aquí. Dejo para descargar un zip con el laboratorio y las configuraciones (faltaría modificar la IOS y los caminos del propio laboratorio y sus configuraciones).

Tenemos la siguiente topología:

Laboratorio GNS de Debug dump

La configuración de cada router es muy simple:

hostname R0
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.252
 no shutdown
access-list 111 permit tcp host 192.168.1.2 any eq telnet
line vty 0 4
 access-class 111 in
 password imd
 login
! ---------------------------------------------
hostname R1
interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.252
 no shutdown
line vty 0 4
 password imd
 login

El ACL es para que haga coincidir el telnet desde R1 a R0 y así poder capturar o espiar el tráfico, pero nos falta el comando en cuestión que captura que es:

R0#debug ip packet detail 111 ?
    

R0#debug ip packet detail 111 dump
IP packet debugging is on (detailed) (dump) for access list 111

Si os fijáis el parámetro dump no aparece en la ayuda al pulsar "?".

Una vez hecho esto nos vamos a R1 y hacemos un telnet a R1 (IP 192.168.1.1) y vemos como en R0 aparece el debug por consola:

*Mar  1 00:02:44.367: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), routed via RIB
*Mar  1 00:02:44.367: IP: s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), len 41, rcvd 3
*Mar  1 00:02:44.367:     TCP src=21211, dst=23, seq=3611017908, ack=154226745, win=4062 ACK PSH
07C44260:                       CC00 0C970000            L.....
07C44270: CC010C97 00000800 45C00029 3C060000  L.......E@.)<...
07C44280: FE06FCB4 C0A80102 C0A80101 52DB0017  ~.|4@(..@(..R[..
07C44290: D73BC2B4 09315039 50180FDE 6D4C0000  W;B4.1P9P..^mL..
07C442A0: 69                                   i
*Mar  1 00:02:44.543: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), routed via RIB
*Mar  1 00:02:44.543: IP: s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), len 41, rcvd 3
*Mar  1 00:02:44.547:     TCP src=21211, dst=23, seq=3611017909, ack=154226745, win=4062 ACK PSH
07C443A0:                       CC00 0C970000            L.....
07C443B0: CC010C97 00000800 45C00029 3C070000  L.......E@.)<...
07C443C0: FE06FCB3 C0A80102 C0A80101 52DB0017  ~.|3@(..@(..R[..
07C443D0: D73BC2B5 09315039 50180FDE 694B0000  W;B5.1P9P..^iK..
07C443E0: 6D                                   m
*Mar  1 00:02:44.735: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), routed via RIB
*Mar  1 00:02:44.735: IP: s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), len 41, rcvd 3
*Mar  1 00:02:44.735:     TCP src=21211, dst=23, seq=3611017910, ack=154226745, win=4062 ACK PSH
07C44620:                       CC00 0C970000            L.....
07C44630: CC010C97 00000800 45C00029 3C080000  L.......E@.)<...
07C44640: FE06FCB2 C0A80102 C0A80101 52DB0017  ~.|2@(..@(..R[..
07C44650: D73BC2B6 09315039 50180FDE 724A0000  W;B6.1P9P..^rJ..
07C44660: 64                                   d
*Mar  1 00:02:45.431: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), routed via RIB
*Mar  1 00:02:45.431: IP: s=192.168.1.2 (FastEthernet0/0), d=192.168.1.1 (FastEthernet0/0), len 42, rcvd 3
*Mar  1 00:02:45.431:     TCP src=21211, dst=23, seq=3611017911, ack=154226745, win=4062 ACK PSH
07C449E0:                       CC00 0C970000            L.....
07C449F0: CC010C97 00000800 45C0002A 3C090000  L.......E@.*<...
07C44A00: FE06FCB0 C0A80102 C0A80101 52DB0017  ~.|0@(..@(..R[..
07C44A10: D73BC2B7 09315039 50180FDE C93E0000  W;B7.1P9P..^I>..
07C44A20: 0D0A                                 ..

Solo he puesto donde se vé la captura de la password que es imd seguida de retorno de carro (ODOA).

El autor del hallazgo dice que ejecutando esto sale la información pero a mi no me sale nada, aunque lo pongo como referencia:

sh log | i ^.+: .+ .+ ....0000 [0-9|A-F]+ .+

Después de todo esto podemos resumir varias cosas:

  1. Hemos realizado un lab aunque sea muy mínimo es un lab más con GNS3
  2. Vemos que GNS3 viene muy bien para probar este tipo de cosas y muchas otras
  3. Y sobro todo que el uso del telnet se DEBE de ERRADICAR.

Información sacada del blog: CCIE en 3 meses.

Retro

Lugares

Redes

Sistemas

Varios