IDS and IPS Evasion

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

Manipulation du TTL

Envoyez quelques paquets avec un TTL suffisant pour arriver à l'IDS/IPS mais pas suffisant pour arriver au système final. Ensuite, envoyez d'autres paquets avec les mêmes séquences que les premiers pour que l'IPS/IDS pense qu'il s'agit de répétitions et ne les vérifie pas, alors qu'en réalité, ils transportent un contenu malveillant.

Option Nmap : --ttlvalue <valeur>

Éviter les signatures

Ajoutez simplement des données inutiles aux paquets pour éviter la signature de l'IPS/IDS.

Option Nmap : --data-length 25

Paquets fragmentés

Fragmentez simplement les paquets et envoyez-les. Si l'IDS/IPS n'a pas la capacité de les réassembler, ils arriveront à l'hôte final.

Option Nmap : -f

Checksum invalide

Les capteurs ne calculent généralement pas le checksum pour des raisons de performance. Ainsi, un attaquant peut envoyer un paquet qui sera interprété par le capteur mais rejeté par l'hôte final. Exemple :

Envoyez un paquet avec le drapeau RST et un checksum invalide, de sorte que l'IPS/IDS puisse penser que ce paquet va fermer la connexion, mais l'hôte final rejettera le paquet car le checksum est invalide.

Options IP et TCP non courantes

Un capteur peut ignorer les paquets avec certains drapeaux et options définis dans les en-têtes IP et TCP, tandis que l'hôte de destination accepte le paquet à la réception.

Chevauchement

Il est possible que lors de la fragmentation d'un paquet, un certain chevauchement existe entre les paquets (peut-être que les 8 premiers octets du paquet 2 chevauchent avec les 8 derniers octets du paquet 1, et les 8 derniers octets du paquet 2 chevauchent avec les 8 premiers octets du paquet 3). Ensuite, si l'IDS/IPS les réassemble de manière différente de l'hôte final, un paquet différent sera interprété. Ou peut-être que 2 paquets avec le même décalage arrivent et que l'hôte doit décider lequel prendre.

BSD : Il a une préférence pour les paquets avec un décalage plus petit. Pour les paquets avec le même décalage, il choisira le premier.
Linux : Comme BSD, mais il préfère le dernier paquet avec le même décalage.
Premier (Windows) : Première valeur qui arrive, valeur qui reste.
Dernier (Cisco) : Dernière valeur qui arrive, valeur qui reste.

Outils

https://github.com/vecna/sniffjoke

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

PrécédentGLBP & HSRP Attacks SuivantLateral VLAN Segmentation Bypass

Dernière mise à jour il y a 3 mois