IDS and IPS Evasion

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

TTL-Manipulation

Senden Sie einige Pakete mit einer TTL, die ausreicht, um das IDS/IPS zu erreichen, aber nicht ausreicht, um das endgültige System zu erreichen. Und dann senden Sie weitere Pakete mit den gleichen Sequenzen wie die anderen, so dass das IPS/IDS denkt, dass es sich um Wiederholungen handelt und sie nicht überprüft, obwohl sie tatsächlich den bösartigen Inhalt tragen.

Nmap-Option: --ttlvalue <Wert>

Vermeidung von Signaturen

Fügen Sie einfach Mülldaten zu den Paketen hinzu, damit die IPS/IDS-Signatur vermieden wird.

Nmap-Option: --data-length 25

Fragmentierte Pakete

Fragmentieren Sie einfach die Pakete und senden Sie sie. Wenn das IDS/IPS nicht in der Lage ist, sie wieder zusammenzusetzen, gelangen sie zum endgültigen Host.

Nmap-Option: -f

Ungültige Prüfsumme

Sensoren berechnen in der Regel aus Leistungsgründen keine Prüfsumme. Ein Angreifer kann also ein Paket senden, das vom Sensor interpretiert, aber vom endgültigen Host abgelehnt wird. Beispiel:

Senden Sie ein Paket mit der Flagge RST und einer ungültigen Prüfsumme, so dass das IPS/IDS denken kann, dass dieses Paket die Verbindung schließen wird, der endgültige Host das Paket jedoch aufgrund der ungültigen Prüfsumme verwerfen wird.

Ungewöhnliche IP- und TCP-Optionen

Ein Sensor kann Pakete mit bestimmten Flags und Optionen in IP- und TCP-Headern ignorieren, während der Zielhost das Paket bei Erhalt akzeptiert.

Überlappung

Es ist möglich, dass bei der Fragmentierung eines Pakets eine Art Überlappung zwischen den Paketen besteht (vielleicht überlappen sich die ersten 8 Bytes von Paket 2 mit den letzten 8 Bytes von Paket 1 und die letzten 8 Bytes von Paket 2 mit den ersten 8 Bytes von Paket 3). Wenn das IDS/IPS sie auf eine andere Weise als der endgültige Host wieder zusammensetzt, wird ein anderes Paket interpretiert. Oder vielleicht kommen 2 Pakete mit dem gleichen Offset an und der Host muss entscheiden, welches er nimmt.

BSD: Es bevorzugt Pakete mit kleinerem Offset. Bei Paketen mit dem gleichen Offset wählt es das erste.
Linux: Wie BSD, aber es bevorzugt das letzte Paket mit dem gleichen Offset.
Erstes (Windows): Erster Wert, der kommt, Wert, der bleibt.
Letztes (Cisco): Letzter Wert, der kommt, Wert, der bleibt.

Tools

https://github.com/vecna/sniffjoke

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 2 months ago