IDS and IPS Evasion
Manipulacija TTL-om
Pošaljite nekoliko paketa sa TTL-om dovoljnim da stignu do IDS/IPS-a, ali nedovoljnim da stignu do krajnjeg sistema. Zatim pošaljite druge pakete sa istim sekvencama kao i prethodni, tako da će IPS/IDS misliti da su to ponavljanja i neće ih proveravati, ali zapravo nose zlonamerni sadržaj.
Nmap opcija: --ttlvalue <vrednost>
Izbegavanje potpisa
Jednostavno dodajte smeće podatke u pakete kako bi se izbegao potpis IPS/IDS-a.
Nmap opcija: --data-length 25
Fragmentirani paketi
Jednostavno fragmentirajte pakete i pošaljite ih. Ako IDS/IPS nema mogućnost da ih ponovo sastavi, stići će do krajnjeg hosta.
Nmap opcija: -f
Nevažeći checksum
Senzori obično ne računaju kontrolnu sumu iz performansnih razloga. Dakle, napadač može poslati paket koji će biti interpretiran od strane senzora, ali odbačen od strane krajnjeg hosta. Primer:
Pošaljite paket sa zastavicom RST i nevažećom kontrolnom sumom, tako da će IPS/IDS možda pomisliti da taj paket zatvara konekciju, ali će ga krajnji host odbaciti jer je kontrolna suma nevažeća.
Neobične IP i TCP opcije
Senzor može ignorisati pakete sa određenim zastavicama i opcijama postavljenim u zaglavljima IP i TCP protokola, dok će odredišni host prihvatiti paket po prijemu.
Preklapanje
Moguće je da kada fragmentirate paket, postoji neka vrsta preklapanja između paketa (možda prvih 8 bajtova paketa 2 se preklapa sa poslednjih 8 bajtova paketa 1, a poslednjih 8 bajtova paketa 2 se preklapa sa prvih 8 bajtova paketa 3). Ako IDS/IPS sastavi pakete na drugačiji način od krajnjeg hosta, drugačije će biti interpretiran paket. Ili možda, dolaze 2 paketa sa istim pomerajem i host mora da odluči koji će uzeti.
BSD: Preferira pakete sa manjim pomerajem. Za pakete sa istim pomerajem, izabraće prvi.
Linux: Kao BSD, ali preferira poslednji paket sa istim pomerajem.
Prvi (Windows): Prva vrednost koja dolazi, vrednost koja ostaje.
Poslednji (cisco): Poslednja vrednost koja dolazi, vrednost koja ostaje.
Alati
Last updated