IDS and IPS Evasion
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Mobil Güvenlik alanındaki uzmanlığınızı 8kSec Akademisi ile derinleştirin. Kendi hızınıza uygun kurslarımızla iOS ve Android güvenliğini öğrenin ve sertifika kazanın:
IDS/IPS'e ulaşacak kadar TTL değeri olan bazı paketler gönderin, ancak son sisteme ulaşacak kadar değil. Ardından, diğer paketlerle aynı dizileri taşıyan başka paketler gönderin, böylece IPS/IDS bunların tekrar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü amaçlı içeriği taşıyorlar.
Nmap seçeneği: --ttlvalue <value>
Paketlere gereksiz veri ekleyin, böylece IPS/IDS imzası atlanır.
Nmap seçeneği: --data-length 25
Paketleri parçalayın ve gönderin. Eğer IDS/IPS bunları yeniden birleştirme yeteneğine sahip değilse, son hosta ulaşacaklardır.
Nmap seçeneği: -f
Sensörler genellikle performans nedenleriyle checksum hesaplamaz. Bu nedenle, bir saldırgan sensör tarafından yorumlanacak ancak son host tarafından reddedilecek bir paket gönderebilir. Örnek:
RST bayrağı ve geçersiz bir checksum ile bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatacağını düşünebilir, ancak son host paketi geçersiz checksum nedeniyle reddedecektir.
Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçenekler ayarlandığında paketleri göz ardı edebilir, oysa hedef host paketi aldığında kabul eder.
Bir paketi parçaladığınızda, paketler arasında bazı çakışmalar olabilir (belki paket 2'nin ilk 8 baytı paket 1'in son 8 baytı ile çakışır ve paket 2'nin son 8 baytı paket 3'ün ilk 8 baytı ile çakışır). Ardından, IDS/IPS bunları son hosttan farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanacaktır. Ya da belki, aynı ofset ile 2 paket gelir ve host hangisini alacağına karar vermek zorundadır.
BSD: Daha küçük ofset değerine sahip paketleri tercih eder. Aynı ofsete sahip paketler için ilk olanı seçecektir.
Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.
İlk (Windows): Gelen ilk değer, kalan değerdir.
Son (cisco): Gelen son değer, kalan değerdir.
Mobil Güvenlik alanındaki uzmanlığınızı 8kSec Akademisi ile derinleştirin. Kendi hızınıza uygun kurslarımızla iOS ve Android güvenliğini öğrenin ve sertifika kazanın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
