IDS and IPS Evasion

AWSハッキングをゼロからヒーローまで学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
独占的なNFTsのコレクションであるThe PEASS Familyを発見する
💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで@hacktricks_liveをフォローする🐦 @hacktricks_live.
ハッキングトリックを共有するためにPRを送信して HackTricks および HackTricks Cloud のGitHubリポジトリに参加する

TTL操作

IDS/IPSに到達するだけのTTLを持つパケットをいくつか送信し、最終システムに到達するには十分でないTTLを持つ別のパケットを送信します。その後、他のパケットと同じシーケンスで別のパケットを送信すると、IPS/IDSはそれらを繰り返しと考え、チェックしないでしょうが、実際には悪意のあるコンテンツを運んでいます。

Nmapオプション: --ttlvalue <value>

シグネチャの回避

パケットにゴミデータを追加するだけで、IPS/IDSのシグネチャを回避できます。

Nmapオプション: --data-length 25

フラグメント化されたパケット

パケットをフラグメント化して送信するだけです。IDS/IPSがそれらを再組み立てる能力を持っていない場合、それらは最終ホストに到達します。

Nmapオプション: -f

無効なチェックサム

通常、センサーはパフォーマンス上の理由からチェックサムを計算しません。したがって、攻撃者はセンサーが解釈するが最終ホストには拒否されるパケットを送信できます。例：

RSTフラグと無効なチェックサムを持つパケットを送信し、IPS/IDSはこのパケットが接続を閉じると思うかもしれませんが、最終ホストはチェックサムが無効であるためパケットを破棄します。

一般的でないIPおよびTCPオプション

センサーは、IPおよびTCPヘッダー内で特定のフラグとオプションが設定されたパケットを無視するかもしれませんが、宛先ホストは受信後にパケットを受け入れるかもしれません。

オーバーラップ

パケットをフラグメント化すると、パケット間にオーバーラップが存在する可能性があります（たとえば、パケット1の最初の8バイトがパケット2の最後の8バイトとオーバーラップし、パケット2の最後の8バイトがパケット3の最初の8バイトとオーバーラップする場合があります）。その後、IDS/IPSがそれらを最終ホストとは異なる方法で再組み立てる場合、異なるパケットが解釈される可能性があります。または、同じオフセットを持つ2つのパケットが来て、ホストはどちらを取るかを決定する必要があります。

BSD: より小さい offset を持つパケットを優先します。同じオフセットを持つパケットの場合、最初のパケットを選択します。
Linux: BSDと同様ですが、同じオフセットを持つ最後のパケットを優先します。
First (Windows): 来た値が残る。
Last (cisco): 来た最後の値が残る。

ツール

https://github.com/vecna/sniffjoke