TTL Manipülasyonu

IDS/IPS'ye ulaşacak kadar TTL değeri olan paketler gönderin, ancak son sistemde ulaşacak kadar değil. Ardından, diğer paketleri aynı dizilerle gönderin, böylece IPS/IDS bunların tekrar olduğunu düşünecek ve kontrol etmeyecektir, ancak aslında zararlı içeriği taşıyor olacaklar.

Nmap seçeneği: --ttlvalue <değer>

İmza Kaçınma

Sadece paketlere gereksiz veri ekleyin, böylece IPS/IDS imzası kaçınılabilir.

Nmap seçeneği: --data-length 25

Parçalanmış Paketler

Paketleri parçalayın ve gönderin. IDS/IPS bunları yeniden birleştirme yeteneğine sahip değilse, paketler son hedefe ulaşır.

Nmap seçeneği: -f

Geçersiz checksum

Sensörler genellikle performans nedenleriyle checksum hesaplamazlar. Bu nedenle, bir saldırgan, sensör tarafından yorumlanacak ancak son hedef tarafından reddedilecek bir paket gönderebilir. Örnek:

Geçersiz bir checksum ile RST bayrağı taşıyan bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatmaya gittiğini düşünebilir, ancak son hedef, checksum geçersiz olduğu için paketi reddeder.

Sıradışı IP ve TCP seçenekleri

Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçeneklerle paketleri dikkate almazken, hedef ana bilgisayar paketi alır almaz kabul eder.

Örtüşme

Bir paketi parçaladığınızda, paketler arasında bazı örtüşmeler olabilir (belki paket 2'nin ilk 8 baytı paket 1'in son 8 baytıyla örtüşür ve paket 2'nin son 8 baytı paket 3'ün ilk 8 baytıyla örtüşür). Ardından, IDS/IPS bunları son hedeften farklı bir şekilde birleştirirse, farklı bir paket yorumlanır. Veya belki, aynı ofsete sahip 2 paket gelir ve ana bilgisayar hangisini alacağına karar vermek zorunda kalır.

• BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için ilkini seçer.

• Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.

• İlk (Windows): Gelen ilk değer, kalır.

• Son (cisco): Gelen son değer, kalır.

Araçlar

• https://github.com/vecna/sniffjoke