IDS and IPS Evasion
Last updated
Last updated
Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Senden Sie einige Pakete mit einer TTL, die ausreicht, um beim IDS/IPS anzukommen, aber nicht ausreicht, um beim endgültigen System anzukommen. Senden Sie dann weitere Pakete mit den gleichen Sequenzen wie die anderen, sodass das IPS/IDS denkt, dass es sich um Wiederholungen handelt und sie nicht überprüft, obwohl sie tatsächlich den bösartigen Inhalt tragen.
Nmap-Option: --ttlvalue <Wert>
Fügen Sie einfach Mülldaten zu den Paketen hinzu, um die IPS/IDS-Signatur zu umgehen.
Nmap-Option: --data-length 25
Einfach die Pakete fragmentieren und senden. Wenn das IDS/IPS nicht in der Lage ist, sie wieder zusammenzusetzen, gelangen sie zum endgültigen Host.
Nmap-Option: -f
Sensoren berechnen normalerweise keine Prüfsumme aus Leistungsgründen. Ein Angreifer kann also ein Paket senden, das vom Sensor interpretiert, aber vom endgültigen Host abgelehnt wird. Beispiel:
Senden Sie ein Paket mit der Flagge RST und einer ungültigen Prüfsumme, sodass das IPS/IDS möglicherweise denkt, dass dieses Paket die Verbindung schließen wird, der endgültige Host das Paket jedoch aufgrund der ungültigen Prüfsumme verwerfen wird.
Ein Sensor könnte Pakete mit bestimmten Flags und Optionen innerhalb von IP- und TCP-Headern ignorieren, während der Zielhost das Paket bei Erhalt akzeptiert.
Es ist möglich, dass bei der Fragmentierung eines Pakets eine Art Überlappung zwischen den Paketen besteht (vielleicht überlappen sich die ersten 8 Bytes des Pakets 2 mit den letzten 8 Bytes des Pakets 1, und die letzten 8 Bytes des Pakets 2 überlappen sich mit den ersten 8 Bytes des Pakets 3). Dann, wenn das IDS/IPS sie auf eine andere Weise wieder zusammensetzt als der endgültige Host, wird ein anderes Paket interpretiert. Oder vielleicht kommen 2 Pakete mit dem gleichen Offset an und der Host muss entscheiden, welches er nimmt.
BSD: Es bevorzugt Pakete mit kleinerem Offset. Bei Paketen mit dem gleichen Offset wählt es das erste.
Linux: Wie BSD, aber es bevorzugt das letzte Paket mit dem gleichen Offset.
Erstes (Windows): Erster Wert, der kommt, Wert, der bleibt.
Letztes (Cisco): Letzter Wert, der kommt, Wert, der bleibt.
Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)