IDS and IPS Evasion
Маніпулювання TTL
Надішліть деякі пакети з TTL достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. Потім надішліть інші пакети з такою ж послідовністю, як і попередні, щоб IPS/IDS вважав їх повторами і не перевіряв, але насправді вони містять шкідливий вміст.
Параметр Nmap: --ttlvalue <value>
Уникання сигнатур
Просто додайте сміттєві дані до пакетів, щоб уникнути сигнатури IPS/IDS.
Параметр Nmap: --data-length 25
Фрагментовані пакети
Просто фрагментуйте пакети та надішліть їх. Якщо IDS/IPS не може їх зібрати, вони дістануться до кінцевого хоста.
Параметр Nmap: -f
Недійсна контрольна сума
Датчики зазвичай не обчислюють контрольну суму з міркувань продуктивності. Тому зловмисник може надіслати пакет, який буде інтерпретований сенсором, але відхилений кінцевим хостом. Наприклад:
Надішліть пакет з прапорцем RST та недійсною контрольною сумою, тоді IPS/IDS може вважати, що цей пакет закриє з'єднання, але кінцевий хост відкине пакет через недійсну контрольну суму.
Незвичайні IP та TCP параметри
Сенсор може проігнорувати пакети з певними прапорцями та параметрами, встановленими в IP та TCP заголовках, тоді як кінцевий хост прийме пакет при отриманні.
Перекривання
Можливо, коли ви фрагментуєте пакет, між пакетами існує яке-небудь перекриття (можливо, перші 8 байтів пакета 2 перекриваються з останніми 8 байтами пакета 1, а останні 8 байтів пакета 2 перекриваються з першими 8 байтами пакета 3). Тоді, якщо IDS/IPS збирає їх по-іншому, ніж кінцевий хост, буде інтерпретовано інший пакет. Або можливо, приходять 2 пакети з однаковим зміщенням, і хост повинен вирішити, який з них він приймає.
BSD: Має перевагу для пакетів з меншим зміщенням. Для пакетів з однаковим зміщенням він вибере перший.
Linux: Як BSD, але він віддає перевагу останньому пакету з однаковим зміщенням.
Перший (Windows): Перше значення, яке приходить, залишається.
Останній (Cisco): Останнє значення, яке приходить, залишається.
Інструменти
Last updated