IDS and IPS Evasion

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Συμμετέχετε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα χάκερ κάνοντας υποβολή PRs στα αποθετήρια HackTricks και HackTricks Cloud.

Αλλοίωση TTL

Στείλτε μερικά πακέτα με ένα TTL αρκετά για να φτάσουν στο IDS/IPS αλλά όχι αρκετά για να φτάσουν στον τελικό σύστημα. Και στη συνέχεια, στείλτε άλλα πακέτα με τις ίδιες ακολουθίες με τα προηγούμενα, έτσι το IPS/IDS θα νομίζει ότι είναι επαναλήψεις και δεν θα τα ελέγξει, αλλά στην πραγματικότητα μεταφέρουν κακόβουλο περιεχόμενο.

Επιλογή Nmap: --ttlvalue <τιμή>

Αποφυγή υπογραφών

Απλά προσθέστε αχρήστα δεδομένα στα πακέτα ώστε να αποφευχθεί η υπογραφή του IPS/IDS.

Επιλογή Nmap: --data-length 25

Κατακερματισμένα πακέτα

Απλά κατακερματίστε τα πακέτα και στείλτε τα. Αν το IDS/IPS δεν έχει τη δυνατότητα να τα επανασυναρμολογήσει, θα φτάσουν στον τελικό υπολογιστή.

Επιλογή Nmap: -f

Μη έγκυρο checksum

Οι αισθητήρες συνήθως δεν υπολογίζουν το checksum για λόγους απόδοσης. Έτσι ένας επιτιθέμενος μπορεί να στείλει ένα πακέτο που θα ερμηνευτεί από τον αισθητήρα αλλά θα απορριφθεί από τον τελικό υπολογιστή. Παράδειγμα:

Στείλτε ένα πακέτο με τη σημαία RST και ένα μη έγκυρο checksum, έτσι ο IPS/IDS μπορεί να νομίσει ότι αυτό το πακέτο πρόκειται να κλείσει τη σύνδεση, αλλά ο τελικός υπολογιστής θα απορρίψει το πακέτο επειδή το checksum είναι μη έγκυρο.

Ασυνήθιστες επιλογές IP και TCP

Ένας αισθητήρας μπορεί να αγνοεί πακέτα με συγκεκριμένες σημαίες και επιλογές που έχουν οριστεί στους κεφαλίδες IP και TCP, ενώ ο προορισμός τους δέχεται το πακέτο κατά τη λήψη του.

Επικάλυψη

Είναι δυνατόν όταν κατακερματίζετε ένα πακέτο, να υπάρχει κάποια μορφή επικάλυψης μεταξύ των πακέτων (ίσως τα πρώτα 8 bytes του πακέτου 2 να επικαλύπτονται με τα τελευταία 8 bytes του πακέτου 1, και τα τελευταία 8 bytes του πακέτου 2 να επικαλύπτονται με τα πρώτα 8 bytes του πακέτου 3). Στη συνέχεια, αν το IDS/IPS τα επανασυναρμολογήσει με διαφορετικό τρόπο από τον τελικό υπολογιστή, θα ερμηνευθεί ένα διαφορετικό πακέτο. Ή ίσως, να έρθουν 2 πακέτα με το ίδιο offset και ο υπολογιστής να πρέπει να αποφασίσει ποιο από αυτά θα πάρει.

BSD: Προτιμά πακέτα με μικρότερο offset. Για πακέτα με το ίδιο offset, θα επιλέξει το πρώτο.
Linux: Όπως το BSD, αλλά προτιμά το τελευταίο πακέτο με το ίδιο offset.
Πρώτο (Windows): Πρώτη τιμή που έρχεται, τιμή που μένει.
Τελευταίο (cisco): Τελευταία τιμή που έρχεται, τιμή που μένει.

Εργαλεία

https://github.com/vecna/sniffjoke

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Συμμετέχετε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα χάκερ κάνοντας υποβολή PRs στα αποθετήρια HackTricks και HackTricks Cloud.

PreviousGLBP & HSRP Attacks NextLateral VLAN Segmentation Bypass

Last updated 1 month ago