IDS and IPS Evasion
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Vertiefe dein Fachwissen in Mobile Security mit der 8kSec Academy. Meistere die Sicherheit von iOS und Android durch unsere selbstgesteuerten Kurse und erhalte ein Zertifikat:
Sende einige Pakete mit einem TTL, der ausreicht, um das IDS/IPS zu erreichen, aber nicht genug, um das endgültige System zu erreichen. Und dann sende weitere Pakete mit denselben Sequenzen wie die anderen, sodass das IPS/IDS denkt, es handelt sich um Wiederholungen und sie nicht überprüft, aber sie tragen tatsächlich den schädlichen Inhalt.
Nmap-Option: --ttlvalue <value>
Füge einfach Mülldaten zu den Paketen hinzu, sodass die IPS/IDS-Signatur umgangen wird.
Nmap-Option: --data-length 25
Fragmentiere einfach die Pakete und sende sie. Wenn das IDS/IPS nicht in der Lage ist, sie wieder zusammenzusetzen, erreichen sie den endgültigen Host.
Nmap-Option: -f
Sensoren berechnen normalerweise keine Prüfziffer aus Leistungsgründen. Ein Angreifer kann also ein Paket senden, das vom Sensor interpretiert, aber vom endgültigen Host abgelehnt wird. Beispiel:
Sende ein Paket mit dem Flag RST und einer ungültigen Prüfziffer, sodass das IPS/IDS denken könnte, dass dieses Paket die Verbindung schließen wird, der endgültige Host jedoch das Paket verwirft, da die Prüfziffer ungültig ist.
Ein Sensor könnte Pakete mit bestimmten Flags und Optionen in den IP- und TCP-Headern ignorieren, während der Zielhost das Paket beim Empfang akzeptiert.
Es ist möglich, dass beim Fragmentieren eines Pakets eine Art Überlappung zwischen den Paketen besteht (vielleicht überlappen die ersten 8 Bytes von Paket 2 mit den letzten 8 Bytes von Paket 1, und die letzten 8 Bytes von Paket 2 überlappen mit den ersten 8 Bytes von Paket 3). Wenn das IDS/IPS sie dann anders wieder zusammensetzt als der endgültige Host, wird ein anderes Paket interpretiert. Oder vielleicht kommen 2 Pakete mit demselben Offset und der Host muss entscheiden, welches er nimmt.
BSD: Bevorzugt Pakete mit kleinerem Offset. Bei Paketen mit demselben Offset wählt es das erste.
Linux: Wie BSD, aber es bevorzugt das letzte Paket mit demselben Offset.
First (Windows): Erster Wert, der kommt, Wert, der bleibt.
Last (Cisco): Letzter Wert, der kommt, Wert, der bleibt.
Vertiefe dein Fachwissen in Mobile Security mit der 8kSec Academy. Meistere die Sicherheit von iOS und Android durch unsere selbstgesteuerten Kurse und erhalte ein Zertifikat:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
