IDS and IPS Evasion

Jifunze na zoezi la AWS Hacking: Mafunzo ya HackTricks kwa Wataalam wa Timu Nyekundu ya AWS (ARTE) Jifunze na zoezi la GCP Hacking: Mafunzo ya HackTricks kwa Wataalam wa Timu Nyekundu ya GCP (GRTE)

unga mkono HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Udanganyifu wa TTL

Tuma baadhi ya pakiti zenye TTL ya kutosha kufika kwa IDS/IPS lakini si za kutosha kufika kwa mfumo wa mwisho. Kisha, tuma pakiti nyingine zenye mfuatano sawa na zile za awali ili IPS/IDS zidhani ni kurudia na zisizichunguze, lakini kwa kweli zinabeba yaliyomo mabaya.

Chaguo la Nmap: --ttlvalue <thamani>

Kuepuka saini

Ongeza data taka kwenye pakiti ili saini ya IPS/IDS iepukwe.

Chaguo la Nmap: --data-length 25

Pakiti Zilizogawanywa

Gawanya pakiti tu na kuzituma. Ikiwa IDS/IPS haina uwezo wa kuzijumuisha, zitafika kwa mwenyeji wa mwisho.

Chaguo la Nmap: -f

Checksum Batili

Vifaa vya kugundua kawaida havihesabu checksum kwa sababu za utendaji. Kwa hivyo, muhusika anaweza kutuma pakiti ambayo ita tambuliwa na kifaa lakini kukataliwa na mwenyeji wa mwisho. Mfano:

Tuma pakiti yenye bendera ya RST na checksum batili, kwa hivyo, IPS/IDS inaweza kufikiria kuwa pakiti hii inafunga uhusiano, lakini mwenyeji wa mwisho atatupa pakiti kwa sababu checksum ni batili.

Chaguo za IP na TCP Zisizo za Kawaida

Kifaa kinaweza kupuuza pakiti zenye bendera na chaguo fulani zilizowekwa ndani ya vichwa vya IP na TCP, wakati mwenyeji wa marudio anakubali pakiti baada ya kupokea.

Kufunika

Inawezekana kwamba unapogawa pakiti, aina fulani ya kufunika ipo kati ya pakiti (labda byte 8 za kwanza za pakiti 2 zinafunika na byte 8 za mwisho za pakiti 1, na byte 8 za mwisho za pakiti 2 zinafunika na byte 8 za kwanza za pakiti 3). Kisha, ikiwa IDS/IPS itazijumuisha kwa njia tofauti na mwenyeji wa mwisho, pakiti tofauti itaendelea.

Au labda, pakiti 2 zenye offset sawa zinakuja na mwenyeji anapaswa kuamua ipi inachukua.

BSD: Inapendelea pakiti zenye offset ndogo. Kwa pakiti zenye offset sawa, itachagua ya kwanza.
Linux: Kama BSD, lakini inapendelea pakiti ya mwisho yenye offset sawa.
Kwanza (Windows): Thamani ya kwanza inayokuja, ndiyo inayobaki.
Ya mwisho (cisco): Thamani ya mwisho inayokuja, ndiyo inayobaki.

Zana

https://github.com/vecna/sniffjoke

unga mkono HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 4 months ago

Udanganyifu wa TTL

Chaguo la Nmap: --ttlvalue <thamani>

Checksum Batili

Vifaa vya kugundua kawaida havihesabu checksum kwa sababu za utendaji. Kwa hivyo, muhusika anaweza kutuma pakiti ambayo ita tambuliwa na kifaa lakini kukataliwa na mwenyeji wa mwisho. Mfano:

Tuma pakiti yenye bendera ya RST na checksum batili, kwa hivyo, IPS/IDS inaweza kufikiria kuwa pakiti hii inafunga uhusiano, lakini mwenyeji wa mwisho atatupa pakiti kwa sababu checksum ni batili.

Kufunika

Au labda, pakiti 2 zenye offset sawa zinakuja na mwenyeji anapaswa kuamua ipi inachukua.

BSD: Inapendelea pakiti zenye offset ndogo. Kwa pakiti zenye offset sawa, itachagua ya kwanza.

Linux: Kama BSD, lakini inapendelea pakiti ya mwisho yenye offset sawa.

Kwanza (Windows): Thamani ya kwanza inayokuja, ndiyo inayobaki.

Ya mwisho (cisco): Thamani ya mwisho inayokuja, ndiyo inayobaki.