IDS and IPS Evasion
Last updated
Last updated
Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)
Stuur 'n paar pakkies met 'n TTL genoeg om by die IDS/IPS aan te kom, maar nie genoeg om by die finale stelsel aan te kom nie. En stuur dan nog pakkies met dieselfde volgordes as die ander sodat die IPS/IDS sal dink dat hulle herhalings is en hulle nie sal nagaan nie, maar in werklikheid dra hulle die skadelike inhoud.
Nmap opsie: --ttlvalue <waarde>
Voeg net rommeldata by die pakkies sodat die IPS/IDS-handtekening vermy word.
Nmap opsie: --data-length 25
Fragmenteer net die pakkies en stuur hulle. As die IDS/IPS nie die vermoë het om hulle weer saam te stel nie, sal hulle by die finale gasheer aankom.
Nmap opsie: -f
Sensore bereken gewoonlik nie kontrolesom vir prestasie redes nie. Dus kan 'n aanvaller 'n pakkie stuur wat deur die sensor geïnterpreteer sal word, maar deur die finale gasheer verwerp sal word. Voorbeeld:
Stuur 'n pakkie met die vlag RST en 'n ongeldige kontrolesom, sodat die IPS/IDS dalk dink dat hierdie pakkie die verbinding gaan sluit, maar die finale gasheer sal die pakkie verwerp omdat die kontrolesom ongeldig is.
'N Sensor kan pakkies met sekere vlae en opsies wat in IP- en TCP-koptekste ingestel is, ignoreer, terwyl die bestemmingsgasheer die pakkie aanvaar wanneer dit ontvang word.
Dit is moontlik dat wanneer jy 'n pakkie fragmenteer, daar 'n soort oorvleueling tussen pakkies bestaan (miskien oorvleuel die eerste 8 byte van pakkie 2 met die laaste 8 byte van pakkie 1, en die laaste 8 byte van pakkie 2 oorvleuel met die eerste 8 byte van pakkie 3). Dan, as die IDS/IPS hulle anders as die finale gasheer weer saamstel, sal 'n ander pakkie geïnterpreteer word. Of dalk kom 2 pakkies met dieselfde verskuiwing en die gasheer moet besluit watter een dit neem.
BSD: Dit het 'n voorkeur vir pakkies met 'n klein verskuiwing. Vir pakkies met dieselfde verskuiwing, sal dit die eerste een kies.
Linux: Soos BSD, maar dit verkies die laaste pakkie met dieselfde verskuiwing.
Eerste (Windows): Eerste waarde wat kom, waarde wat bly.
Laaste (cisco): Laaste waarde wat kom, waarde wat bly.
Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)