IDS and IPS Evasion

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Поглибте свої знання в Mobile Security з 8kSec Academy. Опануйте безпеку iOS та Android через наші курси з самостійним навчанням та отримайте сертифікат:

TTL Manipulation

Відправте кілька пакетів з TTL, достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. А потім надішліть інші пакети з тими ж послідовностями, щоб IPS/IDS вважали їх повтореннями і не перевіряли їх, але насправді вони містять шкідливий вміст.

Nmap option: --ttlvalue <value>

Avoiding signatures

Просто додайте сміттєві дані до пакетів, щоб уникнути підпису IPS/IDS.

Nmap option: --data-length 25

Fragmented Packets

Просто фрагментуйте пакети та надсилайте їх. Якщо IDS/IPS не має можливості зібрати їх назад, вони досягнуть кінцевого хоста.

Nmap option: -f

Invalid checksum

Датчики зазвичай не обчислюють контрольну суму з причин продуктивності. Тому зловмисник може надіслати пакет, який буде інтерпретований датчиком, але відхилений кінцевим хостом. Приклад:

Надішліть пакет з прапором RST та недійсною контрольною сумою, тоді IPS/IDS можуть подумати, що цей пакет закриває з'єднання, але кінцевий хост відкине пакет, оскільки контрольна сума недійсна.

Uncommon IP and TCP options

Датчик може ігнорувати пакети з певними прапорами та опціями, встановленими в заголовках IP та TCP, тоді як кінцевий хост приймає пакет при отриманні.

Overlapping

Можливо, що коли ви фрагментуєте пакет, існує певний вид перекриття між пакетами (можливо, перші 8 байтів пакету 2 перекриваються з останніми 8 байтами пакету 1, а останні 8 байтів пакету 2 перекриваються з першими 8 байтами пакету 3). Тоді, якщо IDS/IPS зберуть їх по-іншому, ніж кінцевий хост, буде інтерпретовано інший пакет. Або, можливо, 2 пакети з однаковим зсувом приходять, і хост повинен вирішити, який з них взяти.

BSD: Віддає перевагу пакетам з меншим зсувом. Для пакетів з однаковим зсувом вибере перший.
Linux: Як BSD, але віддає перевагу останньому пакету з однаковим зсувом.
First (Windows): Перше значення, яке приходить, значення, яке залишається.
Last (cisco): Останнє значення, яке приходить, значення, яке залишається.