IDS and IPS Evasion
Manipulation du TTL
Envoyez quelques paquets avec un TTL suffisant pour arriver à l'IDS/IPS mais pas suffisant pour arriver au système final. Ensuite, envoyez d'autres paquets avec les mêmes séquences que les premiers pour que l'IPS/IDS pense qu'il s'agit de répétitions et ne les vérifie pas, alors qu'en réalité, ils transportent un contenu malveillant.
Option Nmap : --ttlvalue <valeur>
Éviter les signatures
Ajoutez simplement des données inutiles aux paquets pour éviter la signature de l'IPS/IDS.
Option Nmap : --data-length 25
Paquets fragmentés
Fragmentez simplement les paquets et envoyez-les. Si l'IDS/IPS n'a pas la capacité de les réassembler, ils arriveront à l'hôte final.
Option Nmap : -f
Checksum invalide
Les capteurs ne calculent généralement pas le checksum pour des raisons de performance. Ainsi, un attaquant peut envoyer un paquet qui sera interprété par le capteur mais rejeté par l'hôte final. Exemple :
Envoyez un paquet avec le drapeau RST et un checksum invalide, de sorte que l'IPS/IDS puisse penser que ce paquet va fermer la connexion, mais l'hôte final rejettera le paquet car le checksum est invalide.
Options IP et TCP non courantes
Un capteur peut ignorer les paquets avec certains drapeaux et options définis dans les en-têtes IP et TCP, tandis que l'hôte de destination accepte le paquet à la réception.
Chevauchement
Il est possible que lors de la fragmentation d'un paquet, un certain chevauchement existe entre les paquets (peut-être que les 8 premiers octets du paquet 2 chevauchent avec les 8 derniers octets du paquet 1, et les 8 derniers octets du paquet 2 chevauchent avec les 8 premiers octets du paquet 3). Ensuite, si l'IDS/IPS les réassemble de manière différente de l'hôte final, un paquet différent sera interprété. Ou peut-être que 2 paquets avec le même décalage arrivent et que l'hôte doit décider lequel prendre.
BSD : Il a une préférence pour les paquets avec un décalage plus petit. Pour les paquets avec le même décalage, il choisira le premier.
Linux : Comme BSD, mais il préfère le dernier paquet avec le même décalage.
Premier (Windows) : Première valeur qui arrive, valeur qui reste.
Dernier (Cisco) : Dernière valeur qui arrive, valeur qui reste.
Outils
Last updated