IDS and IPS Evasion
Udanganyifu wa TTL
Tuma baadhi ya pakiti na TTL ya kutosha kufika kwenye IDS/IPS lakini sio ya kutosha kufika kwenye mfumo wa mwisho. Kisha, tuma pakiti nyingine na mfuatano sawa na zingine ili IPS/IDS ifikirie kuwa ni kurudia na isizichunguze, lakini kwa kweli zinabeba maudhui mabaya.
Chaguo la Nmap: --ttlvalue <thamani>
Kuepuka saini
Ongeza tu data taka kwenye pakiti ili saini ya IPS/IDS isiepukwe.
Chaguo la Nmap: --data-length 25
Pakiti Zilizogawanywa
Gawanya tu pakiti na utume. Ikiwa IDS/IPS haina uwezo wa kuziunganisha tena, zitafika kwenye mwenyeji wa mwisho.
Chaguo la Nmap: -f
Checksum isiyofaa
Sensori kawaida hazihesabu checksum kwa sababu za utendaji. Kwa hivyo, mshambuliaji anaweza kutuma pakiti ambayo ita tafsiriwa na sensori lakini kukataliwa na mwenyeji wa mwisho. Mfano:
Tuma pakiti na bendera RST na checksum isiyofaa, kwa hivyo, IPS/IDS inaweza kufikiria kuwa pakiti hii inafunga uhusiano, lakini mwenyeji wa mwisho atatupa pakiti kwa sababu checksum ni batili.
Chaguo za IP na TCP zisizo kawaida
Sensori inaweza kupuuza pakiti zenye bendera na chaguo fulani zilizowekwa ndani ya vichwa vya IP na TCP, wakati mwenyeji wa marudio anakubali pakiti mara tu zinapopokelewa.
Kuambatana
Inawezekana kwamba unapogawanya pakiti, aina fulani ya kuambatana ipo kati ya pakiti (labda herufi 8 za kwanza za pakiti 2 zinaambatana na herufi 8 za mwisho za pakiti 1, na herufi 8 za mwisho za pakiti 2 zinaambatana na herufi 8 za kwanza za pakiti 3). Kisha, ikiwa IDS/IPS inaziunganisha tena kwa njia tofauti na mwenyeji wa mwisho, pakiti tofauti itaingiliwa. Au labda, pakiti 2 zenye offset sawa zinakuja na mwenyeji lazima achague ipi inayochukua.
BSD: Ina upendeleo kwa pakiti zenye offset ndogo. Kwa pakiti zenye offset sawa, itachagua ya kwanza.
Linux: Kama BSD, lakini inapendelea pakiti ya mwisho yenye offset sawa.
Ya kwanza (Windows): Thamani ya kwanza inayokuja, ndiyo inayobaki.
Ya mwisho (cisco): Thamani ya mwisho inayokuja, ndiyo inayobaki.
Zana
Last updated