IDS and IPS Evasion

HackTricks'i Destekle

TTL Manipülasyonu

IDS/IPS'ye ulaşacak kadar TTL değerine sahip paketler gönderin ancak son sistemde ulaşmayacak kadar yetersiz olsun. Sonra, diğer paketleri aynı dizilerle gönderin, böylece IPS/IDS bunların tekrarlar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü amaçlı içeriği taşıyor olacaklar.

Nmap seçeneği: --ttlvalue <değer>

İmzalardan Kaçınma

Sadece paketlere gereksiz veri ekleyin böylece IPS/IDS imzasından kaçınılabilir.

Nmap seçeneği: --data-length 25

Parçalanmış Paketler

Paketleri parçalayın ve gönderin. IDS/IPS bunları yeniden birleştirebilecek yeteneğe sahip değilse, paketler son ana bilgisayara ulaşacaktır.

Nmap seçeneği: -f

Geçersiz checksum

Sensörler genellikle performans nedenleriyle checksum hesaplamazlar. Bu nedenle, bir saldırgan sensör tarafından yorumlanacak ancak son ana bilgisayar tarafından reddedilecek bir paket gönderebilir. Örnek:

Geçersiz bir checksum ile RST bayrağı taşıyan bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatmaya gittiğini düşünebilir, ancak son ana bilgisayar checksum geçersiz olduğu için paketi reddeder.

Sıradışı IP ve TCP seçenekleri

Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçeneklerle ayarlanmış paketleri dikkate almazken, hedef ana bilgisayar paketi alır.

Çakışma

Bir paketi parçaladığınızda, paketler arasında bir tür çakışma olabilir (belki de ikinci paketin ilk 8 baytı birinci paketin son 8 baytıyla çakışır ve ikinci paketin son 8 baytı üçüncü paketin ilk 8 baytıyla çakışır). Ardından, IDS/IPS bunları farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanır. Ya da belki, aynı ofsette 2 paket gelir ve ana bilgisayar hangisini alacağına karar vermek zorunda kalır.

  • BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için ilkini seçer.

  • Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.

  • İlk (Windows): Gelen ilk değer, kalan değerdir.

  • Son (cisco): Gelen son değer, kalan değerdir.

Araçlar

HackTricks'i Destekle

Last updated