IDS and IPS Evasion
TTL मैनिपुलेशन
कुछ पैकेट भेजें जिनका TTL IDS/IPS तक पहुंचने के लिए पर्याप्त हो, लेकिन अंतिम सिस्टम तक पहुंचने के लिए पर्याप्त न हो। और फिर, उन्हीं सीक्वेंस के साथ एक और पैकेट भेजें ताकि IPS/IDS सोचेगा कि वे दोहराव हैं और उन्हें जांचेगा नहीं, लेकिन वास्तव में वे दुरुपयोगी सामग्री ले जा रहे हैं।
Nmap विकल्प: --ttlvalue <मान>
हस्ताक्षरों से बचें
पैकेट में कचरा डेटा जोड़ें ताकि IPS/IDS हस्ताक्षर को टाल दें।
Nmap विकल्प: --data-length 25
विभाजित पैकेट्स
पैकेट को विभाजित करें और भेजें। यदि IDS/IPS को उन्हें पुनर्गठित करने की क्षमता नहीं है, तो वे अंतिम होस्ट तक पहुंचेंगे।
Nmap विकल्प: -f
अमान्य चेकसम
सेंसर आम तौर पर प्रदर्शन कारणों के लिए चेकसम की गणना नहीं करते। इसलिए एक हमलावर एक पैकेट भेज सकता है जो सेंसर द्वारा व्याख्या किया जाएगा लेकिन अंतिम होस्ट द्वारा अस्वीकृत किया जाएगा। उदाहरण:
एक पैकेट भेजें जिसमें RST फ्लैग और एक अमान्य चेकसम हो, ताकि फिर, IPS/IDS यह सोच सकता है कि यह पैकेट कनेक्शन बंद करने जा रहा है, लेकिन अंतिम होस्ट चेकसम अमान्य होने के कारण पैकेट को खारिज कर देगा।
असामान्य IP और TCP विकल्प
एक सेंसर संभावित है कि IP और TCP हेडर्स के भीतर निर्दिष्ट ध्वज और विकल्पों वाले पैकेट्स को नजरअंदाज करेगा, जबकि गंतव्य होस्ट पैकेट को प्राप्त करने पर स्वीकार करेगा।
ओवरलैपिंग
संभावना है कि जब आप एक पैकेट को विभाजित करते हैं, पैकेटों के बीच किसी प्रकार का ओवरलैपिंग हो (शायद पैकेट 2 के पहले 8 बाइट पैकेट 1 के आखिरी 8 बाइट के साथ ओवरलैप होता है, और पैकेट 2 के आखिरी 8 बाइट पैकेट 3 के पहले 8 बाइट के साथ ओवरलैप होता है)। फिर, यदि IDS/IPS उन्हें एक अलग तरीके से पुनर्गठित करता है जैसा कि अंतिम होस्ट, तो एक भिन्न पैकेट का व्याख्यान होगा। या शायद, 2 पैकेट्स जिनका समान ऑफसेट है आते हैं और होस्ट को यह निर्णय लेना होता है कि वह किसे लेता है।
BSD: यह पैकेट्स के लिए छोटे ऑफसेट वाले पैकेट्स की प्राथमिकता रखता है। समान ऑफसेट वाले पैकेट्स के लिए, यह पहला चुनेगा।
Linux: BSD की तरह, लेकिन यह अंतिम पैकेट को अधिक पसंद करता है जिसका समान ऑफसेट है।
पहला (Windows): जो मान आता है, वह मान रहा है।
अंतिम (सिस्को): जो मान आता है, वह मान रहा है।
उपकरण
Last updated