IDS and IPS Evasion
TTL Manipülasyonu
IDS/IPS'ye ulaşacak kadar TTL değerine sahip paketler gönderin ancak son sistemde ulaşmayacak kadar yetersiz olsun. Sonra, diğer paketleri aynı dizilerle gönderin, böylece IPS/IDS bunların tekrarlar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü amaçlı içeriği taşıyor olacaklar.
Nmap seçeneği: --ttlvalue <değer>
İmzalardan Kaçınma
Sadece paketlere gereksiz veri ekleyin böylece IPS/IDS imzasından kaçınılabilir.
Nmap seçeneği: --data-length 25
Parçalanmış Paketler
Paketleri parçalayın ve gönderin. IDS/IPS bunları yeniden birleştirebilecek yeteneğe sahip değilse, paketler son ana bilgisayara ulaşacaktır.
Nmap seçeneği: -f
Geçersiz checksum
Sensörler genellikle performans nedenleriyle checksum hesaplamazlar. Bu nedenle, bir saldırgan sensör tarafından yorumlanacak ancak son ana bilgisayar tarafından reddedilecek bir paket gönderebilir. Örnek:
Geçersiz bir checksum ile RST bayrağı taşıyan bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatmaya gittiğini düşünebilir, ancak son ana bilgisayar checksum geçersiz olduğu için paketi reddeder.
Sıradışı IP ve TCP seçenekleri
Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçeneklerle ayarlanmış paketleri dikkate almazken, hedef ana bilgisayar paketi alır.
Çakışma
Bir paketi parçaladığınızda, paketler arasında bir tür çakışma olabilir (belki de ikinci paketin ilk 8 baytı birinci paketin son 8 baytıyla çakışır ve ikinci paketin son 8 baytı üçüncü paketin ilk 8 baytıyla çakışır). Ardından, IDS/IPS bunları farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanır. Ya da belki, aynı ofsette 2 paket gelir ve ana bilgisayar hangisini alacağına karar vermek zorunda kalır.
BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için ilkini seçer.
Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.
İlk (Windows): Gelen ilk değer, kalan değerdir.
Son (cisco): Gelen son değer, kalan değerdir.
Araçlar
Last updated