IDS and IPS Evasion

Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

TTL-Manipulation

Senden Sie einige Pakete mit einer TTL, die ausreicht, um beim IDS/IPS anzukommen, aber nicht ausreicht, um beim endgültigen System anzukommen. Senden Sie dann weitere Pakete mit den gleichen Sequenzen wie die anderen, sodass das IPS/IDS denkt, dass es sich um Wiederholungen handelt und sie nicht überprüft, obwohl sie tatsächlich den bösartigen Inhalt tragen.

Nmap-Option: --ttlvalue <Wert>

Signaturen vermeiden

Fügen Sie einfach Mülldaten zu den Paketen hinzu, um die IPS/IDS-Signatur zu umgehen.

Nmap-Option: --data-length 25

Fragmentierte Pakete

Einfach die Pakete fragmentieren und senden. Wenn das IDS/IPS nicht in der Lage ist, sie wieder zusammenzusetzen, gelangen sie zum endgültigen Host.

Nmap-Option: -f

Ungültige Prüfsumme

Sensoren berechnen normalerweise keine Prüfsumme aus Leistungsgründen. Ein Angreifer kann also ein Paket senden, das vom Sensor interpretiert, aber vom endgültigen Host abgelehnt wird. Beispiel:

Senden Sie ein Paket mit der Flagge RST und einer ungültigen Prüfsumme, sodass das IPS/IDS möglicherweise denkt, dass dieses Paket die Verbindung schließen wird, der endgültige Host das Paket jedoch aufgrund der ungültigen Prüfsumme verwerfen wird.

Ungewöhnliche IP- und TCP-Optionen

Ein Sensor könnte Pakete mit bestimmten Flags und Optionen innerhalb von IP- und TCP-Headern ignorieren, während der Zielhost das Paket bei Erhalt akzeptiert.

Überlappung

Es ist möglich, dass bei der Fragmentierung eines Pakets eine Art Überlappung zwischen den Paketen besteht (vielleicht überlappen sich die ersten 8 Bytes des Pakets 2 mit den letzten 8 Bytes des Pakets 1, und die letzten 8 Bytes des Pakets 2 überlappen sich mit den ersten 8 Bytes des Pakets 3). Dann, wenn das IDS/IPS sie auf eine andere Weise wieder zusammensetzt als der endgültige Host, wird ein anderes Paket interpretiert. Oder vielleicht kommen 2 Pakete mit dem gleichen Offset an und der Host muss entscheiden, welches er nimmt.

BSD: Es bevorzugt Pakete mit kleinerem Offset. Bei Paketen mit dem gleichen Offset wählt es das erste.
Linux: Wie BSD, aber es bevorzugt das letzte Paket mit dem gleichen Offset.
Erstes (Windows): Erster Wert, der kommt, Wert, der bleibt.
Letztes (Cisco): Letzter Wert, der kommt, Wert, der bleibt.

Tools

https://github.com/vecna/sniffjoke

Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 1 month ago