IDS and IPS Evasion

Öğren ve AWS Hacking pratiği yap:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) Öğren ve GCP Hacking pratiği yap: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekle

Abonelik planlarını kontrol et!
💬 Discord grubuna katıl veya telegram grubuna katıl veya bizi Twitter 🐦 @hacktricks_live** takip et.**
Hacking püf noktalarını paylaşmak için PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulun.

TTL Manipülasyonu

IDS/IPS'ye ulaşacak kadar TTL değerine sahip paketler gönderin ancak son sistemde ulaşmayacak kadar yetersiz olsun. Sonra, diğer paketleri aynı dizilerle gönderin, böylece IPS/IDS bunların tekrarlar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü amaçlı içeriği taşıyor olacaklar.

Nmap seçeneği: --ttlvalue <değer>

İmzalardan Kaçınma

Sadece paketlere gereksiz veri ekleyin böylece IPS/IDS imzasından kaçınılabilir.

Nmap seçeneği: --data-length 25

Parçalanmış Paketler

Paketleri parçalayın ve gönderin. IDS/IPS bunları yeniden birleştirebilecek yeteneğe sahip değilse, paketler son ana bilgisayara ulaşacaktır.

Nmap seçeneği: -f

Geçersiz checksum

Sensörler genellikle performans nedenleriyle checksum hesaplamazlar. Bu nedenle, bir saldırgan sensör tarafından yorumlanacak ancak son ana bilgisayar tarafından reddedilecek bir paket gönderebilir. Örnek:

Geçersiz bir checksum ile RST bayrağı taşıyan bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatmaya gittiğini düşünebilir, ancak son ana bilgisayar checksum geçersiz olduğu için paketi reddeder.

Sıradışı IP ve TCP seçenekleri

Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçeneklerle ayarlanmış paketleri dikkate almazken, hedef ana bilgisayar paketi alır.

Çakışma

Bir paketi parçaladığınızda, paketler arasında bir tür çakışma olabilir (belki de ikinci paketin ilk 8 baytı birinci paketin son 8 baytıyla çakışır ve ikinci paketin son 8 baytı üçüncü paketin ilk 8 baytıyla çakışır). Ardından, IDS/IPS bunları farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanır. Ya da belki, aynı ofsette 2 paket gelir ve ana bilgisayar hangisini alacağına karar vermek zorunda kalır.

BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için ilkini seçer.
Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.
İlk (Windows): Gelen ilk değer, kalan değerdir.
Son (cisco): Gelen son değer, kalan değerdir.

Araçlar

https://github.com/vecna/sniffjoke

HackTricks'i Destekle

Abonelik planlarını kontrol et!
💬 Discord grubuna katıl veya telegram grubuna katıl veya bizi Twitter 🐦 @hacktricks_live** takip et.**
Hacking püf noktalarını paylaşmak için PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulun.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 4 months ago

TTL Manipülasyonu

Nmap seçeneği: --ttlvalue <değer>

Geçersiz checksum

Çakışma

BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için ilkini seçer.

Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.

İlk (Windows): Gelen ilk değer, kalan değerdir.

Son (cisco): Gelen son değer, kalan değerdir.