IDS and IPS Evasion

Manipulacija TTL-om

Pošaljite nekoliko paketa sa TTL-om dovoljnim da stignu do IDS/IPS-a, ali ne dovoljnim da stignu do krajnjeg sistema. Zatim pošaljite još paketa sa istim sekvencama kao prethodni, tako da će IPS/IDS misliti da su to ponavljanja i neće ih proveriti, ali zapravo nose zlonamerni sadržaj.

Nmap opcija: --ttlvalue <vrednost>

Izbegavanje potpisa

Jednostavno dodajte smeće podatke u pakete kako bi se izbegao potpis IPS/IDS-a.

Nmap opcija: --data-length 25

Fragmentirani Paketi

Jednostavno fragmentirajte pakete i pošaljite ih. Ako IDS/IPS nema sposobnost da ih ponovo sastavi, stići će do krajnjeg domaćina.

Nmap opcija: -f

Nevažeći checksum

Senzori obično ne računaju kontrolnu sumu iz performansnih razloga. Dakle, napadač može poslati paket koji će biti tumačen od strane senzora, ali odbačen od strane krajnjeg domaćina. Primer:

Pošaljite paket sa zastavicom RST i nevažećom kontrolnom sumom, tako da će IPS/IDS možda pomisliti da ovaj paket zatvara vezu, ali će krajnji domaćin odbaciti paket jer je kontrolna suma nevažeća.

Neobične IP i TCP opcije

Senzor može odbaciti pakete sa određenim zastavicama i opcijama postavljenim unutar IP i TCP zaglavlja, dok odredišni domaćin prihvata paket po prijemu.

Preklapanje

Moguće je da kada fragmentirate paket, postoji neka vrsta preklapanja između paketa (možda prva 8 bajta paketa 2 preklapa se sa poslednjih 8 bajta paketa 1, a poslednjih 8 bajta paketa 2 preklapa se sa prva 8 bajta paketa 3). Zatim, ako IDS/IPS ponovo sastavi pakete na drugačiji način od krajnjeg domaćina, biće tumačen drugačije. Ili možda, dolaze 2 paketa sa istim offsetom i domaćin mora odlučiti koji uzima.

• BSD: Ima prednost za pakete sa manjim offsetom. Za pakete sa istim offsetom, izabraće prvi.

• Linux: Kao BSD, ali preferira poslednji paket sa istim offsetom.

• Prvi (Windows): Prva vrednost koja dolazi, vrednost koja ostaje.

• Poslednji (cisco): Poslednja vrednost koja dolazi, vrednost koja ostaje.

Alati

• https://github.com/vecna/sniffjoke