IDS and IPS Evasion

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

Approfondisci la tua esperienza in Mobile Security con 8kSec Academy. Padroneggia la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni la certificazione:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Manipolazione TTL

Invia alcuni pacchetti con un TTL sufficiente per arrivare all'IDS/IPS ma non sufficiente per arrivare al sistema finale. E poi, invia altri pacchetti con le stesse sequenze degli altri in modo che l'IPS/IDS pensi che siano ripetizioni e non li controlli, ma in realtà portano contenuti dannosi.

Opzione Nmap: --ttlvalue <value>

Evitare le firme

Aggiungi semplicemente dati spazzatura ai pacchetti in modo che la firma dell'IPS/IDS venga evitata.

Opzione Nmap: --data-length 25

Pacchetti frammentati

Frammenta semplicemente i pacchetti e inviali. Se l'IDS/IPS non ha la capacità di riassemblarli, arriveranno all'host finale.

Opzione Nmap: -f

Checksum non valido

I sensori di solito non calcolano il checksum per motivi di prestazioni. Quindi un attaccante può inviare un pacchetto che sarà interpretato dal sensore ma rifiutato dall'host finale. Esempio:

Invia un pacchetto con il flag RST e un checksum non valido, quindi, l'IPS/IDS potrebbe pensare che questo pacchetto stia per chiudere la connessione, ma l'host finale scarterà il pacchetto poiché il checksum è non valido.

Opzioni IP e TCP non comuni

Un sensore potrebbe ignorare pacchetti con determinati flag e opzioni impostati all'interno delle intestazioni IP e TCP, mentre l'host di destinazione accetta il pacchetto al momento della ricezione.

Sovrapposizione

È possibile che quando frammenti un pacchetto, esista qualche tipo di sovrapposizione tra i pacchetti (forse i primi 8 byte del pacchetto 2 sovrappongono con gli ultimi 8 byte del pacchetto 1, e gli ultimi 8 byte del pacchetto 2 sovrappongono con i primi 8 byte del pacchetto 3). Quindi, se l'IDS/IPS li riassembla in un modo diverso rispetto all'host finale, un pacchetto diverso sarà interpretato. O forse, 2 pacchetti con lo stesso offset arrivano e l'host deve decidere quale prendere.

BSD: Ha preferenza per pacchetti con offset più piccoli. Per pacchetti con lo stesso offset, sceglierà il primo.
Linux: Come BSD, ma preferisce l'ultimo pacchetto con lo stesso offset.
Primo (Windows): Primo valore che arriva, valore che rimane.
Ultimo (cisco): Ultimo valore che arriva, valore che rimane.

Strumenti

https://github.com/vecna/sniffjoke

Approfondisci la tua esperienza in Mobile Security con 8kSec Academy. Padroneggia la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni la certificazione:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 15 days ago

Manipolazione TTL

Opzione Nmap: --ttlvalue <value>

Checksum non valido

I sensori di solito non calcolano il checksum per motivi di prestazioni. Quindi un attaccante può inviare un pacchetto che sarà interpretato dal sensore ma rifiutato dall'host finale. Esempio:

Sovrapposizione

BSD: Ha preferenza per pacchetti con offset più piccoli. Per pacchetti con lo stesso offset, sceglierà il primo.

Linux: Come BSD, ma preferisce l'ultimo pacchetto con lo stesso offset.

Primo (Windows): Primo valore che arriva, valore che rimane.

Ultimo (cisco): Ultimo valore che arriva, valore che rimane.