IDS and IPS Evasion

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Συμμετάσχετε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Παραποίηση TTL

Στείλτε μερικά πακέτα με ένα TTL αρκετό για να φτάσουν στο IDS/IPS αλλά όχι αρκετό για να φτάσουν στον τελικό σύστημα. Και στη συνέχεια, στείλτε άλλα πακέτα με τις ίδιες ακολουθίες με τα προηγούμενα, έτσι ώστε το IPS/IDS να νομίζει ότι είναι επαναλήψεις και να μην τα ελέγξει, αλλά στην πραγματικότητα μεταφέρουν το κακόβουλο περιεχόμενο.

Επιλογή Nmap: --ttlvalue <value>

Αποφυγή υπογραφών

Απλά προσθέστε αχρήστα δεδομένα στα πακέτα, έτσι ώστε να αποφευχθεί η υπογραφή του IPS/IDS.

Επιλογή Nmap: --data-length 25

Κατακερματισμένα πακέτα

Απλά κατακερματίστε τα πακέτα και στείλτε τα. Εάν το IDS/IPS δεν έχει τη δυνατότητα να τα επανασυνθέσει, θα φτάσουν στον τελικό υπολογιστή.

Επιλογή Nmap: -f

Μη έγκυρο checksum

Οι αισθητήρες συνήθως δεν υπολογίζουν το checksum για λόγους απόδοσης. Έτσι, ένας επιτιθέμενος μπορεί να στείλει ένα πακέτο που θα ερμηνευθεί από τον αισθητήρα αλλά θα απορριφθεί από τον τελικό υπολογιστή. Παράδειγμα:

Στείλτε ένα πακέτο με τη σημαία RST και ένα μη έγκυρο checksum, έτσι ώστε το IPS/IDS να πιστέψει ότι αυτό το πακέτο θα κλείσει τη σύνδεση, αλλά ο τελικός υπολογιστής θα απορρίψει το πακέτο επειδή το checksum είναι μη έγκυρο.

Ασυνήθιστες επιλογές IP και TCP

Ένας αισθητήρας μπορεί να αγνοεί πακέτα με ορισμένες σημαίες και επιλογές που έχουν οριστεί στους κεφαλίδες IP και TCP, ενώ ο προορισμός τους δέχεται το πακέτο κατά την παραλαβή του.

Επικάλυψη

Είναι δυνατόν όταν κατακερματίζετε ένα πακέτο, να υπάρχει κάποια μορφή επικάλυψης μεταξύ των πακέτων (ίσως τα πρώτα 8 byte του πακέτου 2 να επικαλύπτονται με τα τελευταία 8 byte του πακέτου 1, και τα τελευταία 8 byte του πακέτου 2 να επικαλύπτονται με τα πρώτα 8 byte του πακέτου 3). Στη συνέχεια, εάν το IDS/IPS τα επανασυνθέσει με διαφορετικό τρόπο από τον τελικό υπολογιστή, θα ερμηνευθεί ένα διαφορετικό πακέτο. Ή ίσως, να έρθουν 2 πακέτα με την ίδια μετατόπιση και ο υπολογιστής να πρέπει να αποφασίσει ποιο θα πάρει.

BSD: Προτίμηση για πακέτα με μικρότερη μετατόπιση. Για πακέτα με την ίδια μετατόπιση, θα επιλέξει το πρώτο.
Linux: Όπως το BSD, αλλά προτιμά το τελευταίο πακέτο με την ίδια μετατόπιση.
Πρώτο (Windows): Πρώτη τιμή που έρχεται, τιμή που μένει.
Τελευταίο (cisco): Τελευταία τιμή που έρχεται, τιμή που μένει.

Εργαλεία

https://github.com/vecna/sniffjoke

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔ

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 2 months ago