IDS and IPS Evasion

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Produbite svoje znanje u Mobilnoj Bezbednosti sa 8kSec Akademijom. Savladajte iOS i Android bezbednost kroz naše kurseve koji se mogu pratiti sopstvenim tempom i dobijte sertifikat:

TTL Manipulacija

Pošaljite nekoliko paketa sa TTL-om dovoljno visokim da stigne do IDS/IPS-a, ali ne dovoljno da stigne do konačnog sistema. Zatim, pošaljite još nekoliko paketa sa istim sekvencama kao prethodni, tako da će IPS/IDS pomisliti da su to ponavljanja i neće ih proveriti, ali zapravo nose zlonamerni sadržaj.

Nmap opcija: --ttlvalue <value>

Izbegavanje potpisa

Jednostavno dodajte beskorisne podatke u pakete kako bi se izbegao potpis IPS/IDS-a.

Nmap opcija: --data-length 25

Fragmentisani Paketi

Jednostavno fragmentirajte pakete i pošaljite ih. Ako IDS/IPS nema mogućnost da ih ponovo sastavi, stići će do konačnog hosta.

Nmap opcija: -f

Nevažeći checksum

Senzori obično ne računaju checksum iz razloga performansi. Tako da napadač može poslati paket koji će biti interpretiran od strane senzora, ali odbijen od strane konačnog hosta. Primer:

Pošaljite paket sa RST zastavicom i nevažećim checksum-om, tako da će IPS/IDS možda pomisliti da ovaj paket zatvara vezu, ali konačni host će odbaciti paket jer je checksum nevažeći.

Neobični IP i TCP opcije

Senzor može zanemariti pakete sa određenim zastavicama i opcijama postavljenim unutar IP i TCP zaglavlja, dok konačni host prihvata paket po prijemu.

Preklapanje

Moguće je da kada fragmentirate paket, postoji neka vrsta preklapanja između paketa (možda prvih 8 bajtova paketa 2 preklapa poslednjih 8 bajtova paketa 1, a poslednjih 8 bajtova paketa 2 preklapa prvih 8 bajtova paketa 3). Tada, ako IDS/IPS ponovo sastavi pakete na drugačiji način od konačnog hosta, biće interpretiran drugačiji paket. Ili možda, 2 paketa sa istim pomakom dolaze i host mora odlučiti koji će uzeti.

BSD: Ima prednost za pakete sa manjim pomakom. Za pakete sa istim pomakom, izabira prvi.
Linux: Kao BSD, ali preferira poslednji paket sa istim pomakom.
Prvi (Windows): Prva vrednost koja dođe, vrednost koja ostaje.
Poslednji (cisco): Poslednja vrednost koja dođe, vrednost koja ostaje.

Alati

https://github.com/vecna/sniffjoke

Produbite svoje znanje u Mobilnoj Bezbednosti sa 8kSec Akademijom. Savladajte iOS i Android bezbednost kroz naše kurseve koji se mogu pratiti sopstvenim tempom i dobijte sertifikat:

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 6 days ago

TTL Manipulacija

Nmap opcija: --ttlvalue <value>

Nevažeći checksum

Senzori obično ne računaju checksum iz razloga performansi. Tako da napadač može poslati paket koji će biti interpretiran od strane senzora, ali odbijen od strane konačnog hosta. Primer:

Pošaljite paket sa RST zastavicom i nevažećim checksum-om, tako da će IPS/IDS možda pomisliti da ovaj paket zatvara vezu, ali konačni host će odbaciti paket jer je checksum nevažeći.

Preklapanje

BSD: Ima prednost za pakete sa manjim pomakom. Za pakete sa istim pomakom, izabira prvi.

Linux: Kao BSD, ali preferira poslednji paket sa istim pomakom.

Prvi (Windows): Prva vrednost koja dođe, vrednost koja ostaje.

Poslednji (cisco): Poslednja vrednost koja dođe, vrednost koja ostaje.