IDS and IPS Evasion

Impara e pratica l'hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di Github.

Manipolazione TTL

Invia alcuni pacchetti con un TTL sufficiente per arrivare all'IDS/IPS ma non sufficiente per arrivare al sistema finale. Successivamente, invia altri pacchetti con le stesse sequenze dei precedenti in modo che l'IPS/IDS pensi che siano ripetizioni e non li controlli, ma in realtà trasportano contenuti dannosi.

Opzione Nmap: --ttlvalue <valore>

Evitare le firme

Aggiungi semplicemente dati spazzatura ai pacchetti per evitare la firma dell'IPS/IDS.

Opzione Nmap: --data-length 25

Pacchetti frammentati

Semplicemente frammenta i pacchetti e inviali. Se l'IDS/IPS non è in grado di riunirli, arriveranno all'host finale.

Opzione Nmap: -f

Checksum non valido

I sensori di solito non calcolano il checksum per motivi di prestazioni. Quindi un attaccante può inviare un pacchetto che verrà interpretato dal sensore ma respinto dall'host finale. Esempio:

Invia un pacchetto con il flag RST e un checksum non valido, in modo che l'IPS/IDS possa pensare che questo pacchetto stia per chiudere la connessione, ma l'host finale scarterà il pacchetto poiché il checksum è invalido.

Opzioni IP e TCP non comuni

Un sensore potrebbe ignorare pacchetti con determinati flag e opzioni impostate all'interno degli header IP e TCP, mentre l'host di destinazione accetta il pacchetto al momento della ricezione.

Sovrapposizione

È possibile che quando si frammenta un pacchetto, esista una sorta di sovrapposizione tra i pacchetti (forse i primi 8 byte del pacchetto 2 si sovrappongono agli ultimi 8 byte del pacchetto 1, e gli ultimi 8 byte del pacchetto 2 si sovrappongono ai primi 8 byte del pacchetto 3). Quindi, se l'IDS/IPS li riunisce in modo diverso rispetto all'host finale, verrà interpretato un pacchetto diverso. Oppure, 2 pacchetti con lo stesso offset arrivano e l'host deve decidere quale prendere.

BSD: Ha la preferenza per i pacchetti con offset più piccolo. Per i pacchetti con lo stesso offset, sceglierà il primo.
Linux: Come BSD, ma preferisce l'ultimo pacchetto con lo stesso offset.
Primo (Windows): Primo valore che arriva, valore che rimane.
Ultimo (cisco): Ultimo valore che arriva, valore che rimane.

Strumenti

https://github.com/vecna/sniffjoke

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di Github.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 4 months ago

Manipolazione TTL

Opzione Nmap: --ttlvalue <valore>

Checksum non valido

I sensori di solito non calcolano il checksum per motivi di prestazioni. Quindi un attaccante può inviare un pacchetto che verrà interpretato dal sensore ma respinto dall'host finale. Esempio:

Sovrapposizione

BSD: Ha la preferenza per i pacchetti con offset più piccolo. Per i pacchetti con lo stesso offset, sceglierà il primo.

Linux: Come BSD, ma preferisce l'ultimo pacchetto con lo stesso offset.

Primo (Windows): Primo valore che arriva, valore che rimane.

Ultimo (cisco): Ultimo valore che arriva, valore che rimane.