IDS and IPS Evasion

Маніпулювання TTL

Надішліть деякі пакети з TTL достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. Потім надішліть інші пакети з такою ж послідовністю, як і попередні, щоб IPS/IDS вважав їх повторами і не перевіряв, але насправді вони містять шкідливий вміст.

Параметр Nmap: --ttlvalue <value>

Уникання сигнатур

Просто додайте сміттєві дані до пакетів, щоб уникнути сигнатури IPS/IDS.

Параметр Nmap: --data-length 25

Фрагментовані пакети

Просто фрагментуйте пакети та надішліть їх. Якщо IDS/IPS не може їх зібрати, вони дістануться до кінцевого хоста.

Параметр Nmap: -f

Недійсна контрольна сума

Датчики зазвичай не обчислюють контрольну суму з міркувань продуктивності. Тому зловмисник може надіслати пакет, який буде інтерпретований сенсором, але відхилений кінцевим хостом. Наприклад:

Надішліть пакет з прапорцем RST та недійсною контрольною сумою, тоді IPS/IDS може вважати, що цей пакет закриє з'єднання, але кінцевий хост відкине пакет через недійсну контрольну суму.

Незвичайні IP та TCP параметри

Сенсор може проігнорувати пакети з певними прапорцями та параметрами, встановленими в IP та TCP заголовках, тоді як кінцевий хост прийме пакет при отриманні.

Перекривання

Можливо, коли ви фрагментуєте пакет, між пакетами існує яке-небудь перекриття (можливо, перші 8 байтів пакета 2 перекриваються з останніми 8 байтами пакета 1, а останні 8 байтів пакета 2 перекриваються з першими 8 байтами пакета 3). Тоді, якщо IDS/IPS збирає їх по-іншому, ніж кінцевий хост, буде інтерпретовано інший пакет. Або можливо, приходять 2 пакети з однаковим зміщенням, і хост повинен вирішити, який з них він приймає.

• BSD: Має перевагу для пакетів з меншим зміщенням. Для пакетів з однаковим зміщенням він вибере перший.

• Linux: Як BSD, але він віддає перевагу останньому пакету з однаковим зміщенням.

• Перший (Windows): Перше значення, яке приходить, залишається.

• Останній (Cisco): Останнє значення, яке приходить, залишається.

Інструменти

• https://github.com/vecna/sniffjoke