IDS and IPS Evasion

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Verdiep jou kundigheid in Mobiele Sekuriteit met 8kSec Akademie. Beheers iOS en Android sekuriteit deur ons self-gebaseerde kursusse en kry gesertifiseer:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

TTL Manipulasie

Stuur 'n paar pakkette met 'n TTL wat genoeg is om by die IDS/IPS aan te kom, maar nie genoeg om by die finale stelsel aan te kom nie. En dan, stuur nog pakkette met dieselfde volgorde as die ander sodat die IPS/IDS sal dink dit is herhalings en hulle nie sal nagaan nie, maar hulle dra inderdaad die kwaadwillige inhoud.

Nmap opsie: --ttlvalue <value>

Vermyding van handtekeninge

Voeg net rommeldata by die pakkette sodat die IPS/IDS handtekening vermy word.

Nmap opsie: --data-length 25

Gefragmenteerde Pakkette

Fragment net die pakkette en stuur hulle. As die IDS/IPS nie die vermoë het om hulle weer saam te stel nie, sal hulle by die finale gasheer aankom.

Nmap opsie: -f

Ongeldige kontrole som

Sensoren bereken gewoonlik nie kontrole som vir prestasiedoeleindes nie. So 'n aanvaller kan 'n pakket stuur wat deur die sensor geïnterpreteer sal word, maar deur die finale gasheer verwerp sal word. Voorbeeld:

Stuur 'n pakket met die vlag RST en 'n ongeldig kontrole som, sodat die IPS/IDS mag dink dat hierdie pakket die verbinding gaan sluit, maar die finale gasheer sal die pakket verwerp aangesien die kontrole som ongeldig is.

Ongewone IP en TCP opsies

'n Sensor mag pakkette met sekere vlae en opsies wat binne IP en TCP koppe gestel is, ignoreer, terwyl die bestemmingsgasheer die pakket by ontvangs aanvaar.

Oorvleueling

Dit is moontlik dat wanneer jy 'n pakket fragment, 'n tipe oorvleueling tussen pakkette bestaan (miskien oorvleuel die eerste 8 bytes van pakket 2 met die laaste 8 bytes van pakket 1, en die laaste 8 bytes van pakket 2 oorvleuel met die eerste 8 bytes van pakket 3). Dan, as die IDS/IPS hulle op 'n ander manier weer saamstel as die finale gasheer, sal 'n ander pakket geïnterpreteer word. Of miskien, 2 pakkette met dieselfde offset kom en die gasheer moet besluit watter een hy neem.

BSD: Dit het voorkeur vir pakkette met 'n kleiner offset. Vir pakkette met dieselfde offset, sal dit die eerste een kies.
Linux: Soos BSD, maar dit verkies die laaste pakket met dieselfde offset.
Eerste (Windows): Eerste waarde wat kom, waarde wat bly.
Laaste (cisco): Laaste waarde wat kom, waarde wat bly.

Gereedskap

https://github.com/vecna/sniffjoke

Verdiep jou kundigheid in Mobiele Sekuriteit met 8kSec Akademie. Beheers iOS en Android sekuriteit deur ons self-gebaseerde kursusse en kry gesertifiseer:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Ondersteun HackTricks