IDS and IPS Evasion
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Verdiep jou kundigheid in Mobiele Sekuriteit met 8kSec Akademie. Beheers iOS en Android sekuriteit deur ons self-gebaseerde kursusse en kry gesertifiseer:
Stuur 'n paar pakkette met 'n TTL wat genoeg is om by die IDS/IPS aan te kom, maar nie genoeg om by die finale stelsel aan te kom nie. En dan, stuur nog pakkette met dieselfde volgorde as die ander sodat die IPS/IDS sal dink dat dit herhalings is en hulle nie sal nagaan nie, maar dit dra wel die kwaadwillige inhoud.
Nmap opsie: --ttlvalue <value>
Voeg net rommeldata by die pakkette sodat die IPS/IDS handtekening vermy word.
Nmap opsie: --data-length 25
Fragment net die pakkette en stuur hulle. As die IDS/IPS nie die vermoë het om hulle weer saam te stel nie, sal hulle by die finale gasheer aankom.
Nmap opsie: -f
Sensoren bereken gewoonlik nie kontrole som vir prestasiedoeleindes nie. So 'n aanvaller kan 'n pakket stuur wat deur die sensor geïnterpreteer sal word, maar deur die finale gasheer verwerp sal word. Voorbeeld:
Stuur 'n pakket met die vlag RST en 'n ongeldige kontrole som, sodat die IPS/IDS mag dink dat hierdie pakket die verbinding gaan sluit, maar die finale gasheer sal die pakket verwerp aangesien die kontrole som ongeldig is.
'n Sensor mag pakkette met sekere vlae en opsies wat binne IP en TCP koppe gestel is, ignoreer, terwyl die bestemmingsgasheer die pakket by ontvangs aanvaar.
Dit is moontlik dat wanneer jy 'n pakket fragmenteer, 'n tipe oorvleueling tussen pakkette bestaan (miskien oorvleuel die eerste 8 bytes van pakket 2 met die laaste 8 bytes van pakket 1, en die laaste 8 bytes van pakket 2 oorvleuel met die eerste 8 bytes van pakket 3). Dan, as die IDS/IPS hulle op 'n ander manier weer saamstel as die finale gasheer, sal 'n ander pakket geïnterpreteer word. Of miskien, 2 pakkette met dieselfde offset kom en die gasheer moet besluit watter een hy neem.
BSD: Dit het voorkeur vir pakkette met 'n kleiner offset. Vir pakkette met dieselfde offset, sal dit die eerste een kies.
Linux: Soos BSD, maar dit verkies die laaste pakket met dieselfde offset.
Eerste (Windows): Eerste waarde wat kom, waarde wat bly.
Laaste (cisco): Laaste waarde wat kom, waarde wat bly.
Verdiep jou kundigheid in Mobiele Sekuriteit met 8kSec Akademie. Beheers iOS en Android sekuriteit deur ons self-gebaseerde kursusse en kry gesertifiseer:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)