IDS and IPS Evasion
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Εμβαθύνετε την εμπειρία σας στην Ασφάλεια Κινητών με την 8kSec Academy. Κατακτήστε την ασφάλεια iOS και Android μέσω των αυτορυθμιζόμενων μαθημάτων μας και αποκτήστε πιστοποίηση:
Στείλτε κάποια πακέτα με TTL αρκετό για να φτάσουν στο IDS/IPS αλλά όχι αρκετό για να φτάσουν στο τελικό σύστημα. Και στη συνέχεια, στείλτε άλλα πακέτα με τις ίδιες ακολουθίες όπως τα προηγούμενα ώστε το IPS/IDS να νομίζει ότι είναι επαναλήψεις και να μην τα ελέγξει, αλλά στην πραγματικότητα μεταφέρουν το κακόβουλο περιεχόμενο.
Επιλογή Nmap: --ttlvalue <value>
Απλά προσθέστε άχρηστα δεδομένα στα πακέτα ώστε να αποφευχθεί η υπογραφή του IPS/IDS.
Επιλογή Nmap: --data-length 25
Απλά σπάστε τα πακέτα και στείλτε τα. Αν το IDS/IPS δεν έχει τη δυνατότητα να τα επανασυναρμολογήσει, θα φτάσουν στον τελικό υπολογιστή.
Επιλογή Nmap: -f
Οι αισθητήρες συνήθως δεν υπολογίζουν το checksum για λόγους απόδοσης. Έτσι, ένας επιτιθέμενος μπορεί να στείλει ένα πακέτο που θα είναι ερμηνευμένο από τον αισθητήρα αλλά θα απορριφθεί από τον τελικό υπολογιστή. Παράδειγμα:
Στείλτε ένα πακέτο με τη σημαία RST και ένα άκυρο checksum, έτσι ώστε το IPS/IDS να νομίζει ότι αυτό το πακέτο θα κλείσει τη σύνδεση, αλλά ο τελικός υπολογιστής θα απορρίψει το πακέτο καθώς το checksum είναι άκυρο.
Ένας αισθητήρας μπορεί να αγνοήσει πακέτα με ορισμένες σημαίες και επιλογές που έχουν οριστεί στα IP και TCP headers, ενώ ο προορισμός υπολογιστής αποδέχεται το πακέτο κατά την παραλαβή.
Είναι πιθανό όταν σπάτε ένα πακέτο, να υπάρχει κάποια μορφή επικαλυπτόμενης περιοχής μεταξύ των πακέτων (ίσως τα πρώτα 8 bytes του πακέτου 2 επικαλύπτονται με τα τελευταία 8 bytes του πακέτου 1, και τα τελευταία 8 bytes του πακέτου 2 επικαλύπτονται με τα πρώτα 8 bytes του πακέτου 3). Έτσι, αν το IDS/IPS τα επανασυναρμολογήσει με διαφορετικό τρόπο από τον τελικό υπολογιστή, ένα διαφορετικό πακέτο θα ερμηνευθεί. Ή ίσως, 2 πακέτα με την ίδια μετατόπιση έρχονται και ο υπολογιστής πρέπει να αποφασίσει ποιο θα πάρει.
BSD: Έχει προτίμηση για πακέτα με μικρότερη μετατόπιση. Για πακέτα με την ίδια μετατόπιση, θα επιλέξει το πρώτο.
Linux: Όπως το BSD, αλλά προτιμά το τελευταίο πακέτο με την ίδια μετατόπιση.
Πρώτο (Windows): Πρώτη τιμή που έρχεται, τιμή που μένει.
Τελευταίο (cisco): Τελευταία τιμή που έρχεται, τιμή που μένει.
Εμβαθύνετε την εμπειρία σας στην Ασφάλεια Κινητών με την 8kSec Academy. Κατακτήστε την ασφάλεια iOS και Android μέσω των αυτορυθμιζόμενων μαθημάτων μας και αποκτήστε πιστοποίηση:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)