IDS and IPS Evasion
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
モバイルセキュリティの専門知識を8kSecアカデミーで深めましょう。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう:
TTL操作
IDS/IPSに到達するのに十分なTTLを持つパケットをいくつか送信しますが、最終システムには到達しないようにします。そして、他のパケットと同じシーケンスの別のパケットを送信すると、IPS/IDSはそれらを繰り返しと見なし、チェックしないでしょうが、実際には悪意のあるコンテンツを運んでいます。
Nmapオプション: --ttlvalue <value>
シグネチャの回避
パケットにゴミデータを追加するだけで、IPS/IDSのシグネチャを回避します。
Nmapオプション: --data-length 25
フラグメント化されたパケット
パケットをフラグメント化して送信します。IDS/IPSがそれらを再構成できない場合、最終ホストに到達します。
Nmapオプション: -f
無効な チェックサム
センサーは通常、パフォーマンスの理由からチェックサムを計算しません。したがって、攻撃者はセンサーによって解釈されるが、最終ホストによって拒否されるパケットを送信できます。例:
RSTフラグと無効なチェックサムを持つパケットを送信すると、IPS/IDSはこのパケットが接続を閉じると考えるかもしれませんが、最終ホストはチェックサムが無効であるためパケットを破棄します。
一般的でないIPおよびTCPオプション
センサーは、IPおよびTCPヘッダー内の特定のフラグやオプションが設定されたパケットを無視する可能性がありますが、宛先ホストは受信時にパケットを受け入れます。
オーバーラップ
パケットをフラグメント化すると、パケット間に何らかのオーバーラップが存在する可能性があります(たとえば、パケット2の最初の8バイトがパケット1の最後の8バイトとオーバーラップし、パケット2の最後の8バイトがパケット3の最初の8バイトとオーバーラップする)。その場合、IDS/IPSがそれらを最終ホストとは異なる方法で再構成すると、異なるパケットが解釈されます。 または、同じオフセットを持つ2つのパケットが到着し、ホストがどちらを受け取るかを決定しなければならない場合もあります。
BSD: 小さい_オフセット_を持つパケットを優先します。同じオフセットのパケットの場合、最初のものを選択します。
Linux: BSDと同様ですが、同じオフセットの最後のパケットを優先します。
最初 (Windows): 最初に来た値が残ります。
最後 (cisco): 最後に来た値が残ります。
ツール
モバイルセキュリティの専門知識を8kSecアカデミーで深めましょう。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう:
