IDS and IPS Evasion
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)
Στείλτε μερικά πακέτα με ένα TTL αρκετά για να φτάσουν στο IDS/IPS αλλά όχι αρκετά για να φτάσουν στον τελικό σύστημα. Και στη συνέχεια, στείλτε άλλα πακέτα με τις ίδιες ακολουθίες με τα προηγούμενα, έτσι το IPS/IDS θα νομίζει ότι είναι επαναλήψεις και δεν θα τα ελέγξει, αλλά στην πραγματικότητα μεταφέρουν κακόβουλο περιεχόμενο.
Επιλογή Nmap: --ttlvalue <τιμή>
Απλά προσθέστε αχρήστα δεδομένα στα πακέτα ώστε να αποφευχθεί η υπογραφή του IPS/IDS.
Επιλογή Nmap: --data-length 25
Απλά κατακερματίστε τα πακέτα και στείλτε τα. Αν το IDS/IPS δεν έχει τη δυνατότητα να τα επανασυναρμολογήσει, θα φτάσουν στον τελικό υπολογιστή.
Επιλογή Nmap: -f
Οι αισθητήρες συνήθως δεν υπολογίζουν το checksum για λόγους απόδοσης. Έτσι ένας επιτιθέμενος μπορεί να στείλει ένα πακέτο που θα ερμηνευτεί από τον αισθητήρα αλλά θα απορριφθεί από τον τελικό υπολογιστή. Παράδειγμα:
Στείλτε ένα πακέτο με τη σημαία RST και ένα μη έγκυρο checksum, έτσι ο IPS/IDS μπορεί να νομίσει ότι αυτό το πακέτο πρόκειται να κλείσει τη σύνδεση, αλλά ο τελικός υπολογιστής θα απορρίψει το πακέτο επειδή το checksum είναι μη έγκυρο.
Ένας αισθητήρας μπορεί να αγνοεί πακέτα με συγκεκριμένες σημαίες και επιλογές που έχουν οριστεί στους κεφαλίδες IP και TCP, ενώ ο προορισμός τους δέχεται το πακέτο κατά τη λήψη του.
Είναι δυνατόν όταν κατακερματίζετε ένα πακέτο, να υπάρχει κάποια μορφή επικάλυψης μεταξύ των πακέτων (ίσως τα πρώτα 8 bytes του πακέτου 2 να επικαλύπτονται με τα τελευταία 8 bytes του πακέτου 1, και τα τελευταία 8 bytes του πακέτου 2 να επικαλύπτονται με τα πρώτα 8 bytes του πακέτου 3). Στη συνέχεια, αν το IDS/IPS τα επανασυναρμολογήσει με διαφορετικό τρόπο από τον τελικό υπολογιστή, θα ερμηνευθεί ένα διαφορετικό πακέτο. Ή ίσως, να έρθουν 2 πακέτα με το ίδιο offset και ο υπολογιστής να πρέπει να αποφασίσει ποιο από αυτά θα πάρει.
BSD: Προτιμά πακέτα με μικρότερο offset. Για πακέτα με το ίδιο offset, θα επιλέξει το πρώτο.
Linux: Όπως το BSD, αλλά προτιμά το τελευταίο πακέτο με το ίδιο offset.
Πρώτο (Windows): Πρώτη τιμή που έρχεται, τιμή που μένει.
Τελευταίο (cisco): Τελευταία τιμή που έρχεται, τιμή που μένει.
Μάθετε & εξασκηθείτε στο AWS Hacking:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)