IDS and IPS Evasion
AWS ํดํน ํ์ต ๋ฐ ์ค์ต:HackTricks Training AWS Red Team Expert (ARTE) GCP ํดํน ํ์ต ๋ฐ ์ค์ต: HackTricks Training GCP Red Team Expert (GRTE)
TTL ์กฐ์
IDS/IPS์ ๋๋ฌํ ๋งํผ์ TTL์ ๊ฐ์ง ํจํท์ ๋ณด๋ด์ง๋ง ์ต์ข ์์คํ ์ ๋๋ฌํ ๋งํผ์ ์ถฉ๋ถํ์ง ์์ ํจํท์ ๋ณด๋ ๋๋ค. ๊ทธ๋ฐ ๋ค์, ๋ค๋ฅธ ํจํท์ ๋์ผํ ์ํ์ค๋ก ๋ณด๋ด์ IPS/IDS๊ฐ ๊ทธ๊ฒ๋ค์ ๋ฐ๋ณต์ผ๋ก ์๊ฐํ๊ณ ํ์ธํ์ง ์์ ๊ฒ์ด๋ผ๊ณ ์๊ฐํ๊ฒ ๋ง๋ญ๋๋ค. ๊ทธ๋ฌ๋ ์ค์ ๋ก๋ ์ ์ฑ ์ฝํ ์ธ ๋ฅผ ์ด๋ฐํ๊ณ ์์ต๋๋ค.
Nmap ์ต์
: --ttlvalue <value>
์๋ช
ํผํ๊ธฐ
ํจํท์ ์ฐ๋ ๊ธฐ ๋ฐ์ดํฐ๋ฅผ ์ถ๊ฐํ์ฌ IPS/IDS ์๋ช ์ ํผํฉ๋๋ค.
Nmap ์ต์
: --data-length 25
๋ถํ ๋ ํจํท
ํจํท์ ๋ถํ ํ๊ณ ๋ณด๋ ๋๋ค. IDS/IPS๊ฐ ์ด๋ฅผ ์ฌ์กฐ๋ฆฝํ ์ ์๋ ๊ฒฝ์ฐ ์ต์ข ํธ์คํธ์ ๋๋ฌํ ๊ฒ์ ๋๋ค.
Nmap ์ต์
: -f
์ ํจํ์ง ์์ ์ฒดํฌ์ฌ
์ผ๋ฐ์ ์ผ๋ก ์ผ์๋ ์ฑ๋ฅ์์ ์ด์ ๋ก ์ฒดํฌ์ฌ์ ๊ณ์ฐํ์ง ์์ต๋๋ค. ๋ฐ๋ผ์ ๊ณต๊ฒฉ์๋ ์ผ์๊ฐ ํด์ํ์ง๋ง ์ต์ข ํธ์คํธ์์๋ ๊ฑฐ๋ถ๋ ํจํท์ ๋ณด๋ผ ์ ์์ต๋๋ค. ์:
์ ํจํ์ง ์์ ์ฒดํฌ์ฌ์ ๊ฐ์ง RST ํ๋๊ทธ๊ฐ ์๋ ํจํท์ ๋ณด๋ด๋ฉด IPS/IDS๊ฐ ์ด ํจํท์ด ์ฐ๊ฒฐ์ ๋ซ์ ๊ฒ์ผ๋ก ์๊ฐํ ์ ์์ง๋ง ์ต์ข ํธ์คํธ๋ ์ฒดํฌ์ฌ์ด ์ ํจํ์ง ์๊ธฐ ๋๋ฌธ์ ํจํท์ ๋ฒ๋ฆฝ๋๋ค.
์ผ๋ฐ์ ์ด์ง ์์ IP ๋ฐ TCP ์ต์
์ผ์๋ IP ๋ฐ TCP ํค๋ ๋ด์์ ํน์ ํ๋๊ทธ ๋ฐ ์ต์ ์ด ์ค์ ๋ ํจํท์ ๋ฌด์ํ ์ ์์ง๋ง ๋ชฉ์ ์ง ํธ์คํธ๋ ํจํท์ ์์ ํ๋ฉด์ ์๋ฝํ ์ ์์ต๋๋ค.
์ค์ฒฉ
ํจํท์ ๋ถํ ํ๋ฉด ํจํท ๊ฐ์ ์ด๋ค ์ข ๋ฅ์ ์ค์ฒฉ์ด ์กด์ฌํ ์ ์์ต๋๋ค (์๋ง๋ ํจํท 2์ ์ฒ์ 8๋ฐ์ดํธ๊ฐ ํจํท 1์ ๋ง์ง๋ง 8๋ฐ์ดํธ์ ๊ฒน์นฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ํจํท 2์ ๋ง์ง๋ง 8๋ฐ์ดํธ๊ฐ ํจํท 3์ ์ฒ์ 8๋ฐ์ดํธ์ ๊ฒน์นฉ๋๋ค). ๊ทธ๋ฐ ๋ค์, IDS/IPS๊ฐ ์ด๋ฅผ ์ต์ข ํธ์คํธ์ ๋ค๋ฅธ ๋ฐฉ์์ผ๋ก ์ฌ์กฐ๋ฆฝํ๋ฉด ๋ค๋ฅธ ํจํท์ด ํด์๋ ์ ์์ต๋๋ค. ๋๋ ์๋ง๋, ๋์ผํ ์คํ์ ์ ๊ฐ์ง 2๊ฐ์ ํจํท์ด ์ค๊ณ ํธ์คํธ๋ ์ด๋ค ๊ฒ์ ์ ํํ ์ง ๊ฒฐ์ ํด์ผ ํฉ๋๋ค.
BSD: ์์ _์คํ์ _์ ๊ฐ์ง ํจํท์ ์ ํธํฉ๋๋ค. ๋์ผํ ์คํ์ ์ ๊ฐ์ง ํจํท์ ๊ฒฝ์ฐ ์ฒซ ๋ฒ์งธ ํจํท์ ์ ํํฉ๋๋ค.
Linux: BSD์ ์ ์ฌํ์ง๋ง ๋์ผํ ์คํ์ ์ ๊ฐ์ง ๋ง์ง๋ง ํจํท์ ์ ํธํฉ๋๋ค.
์ฒซ ๋ฒ์งธ (Windows): ์ค๋ ๊ฐ ์ค์์ ์ ํํฉ๋๋ค.
๋ง์ง๋ง (Cisco): ์ค๋ ๊ฐ ์ค์์ ์ ํํฉ๋๋ค.
๋๊ตฌ
AWS ํดํน ํ์ต ๋ฐ ์ค์ต:HackTricks Training AWS Red Team Expert (ARTE) GCP ํดํน ํ์ต ๋ฐ ์ค์ต: HackTricks Training GCP Red Team Expert (GRTE)
Last updated