Маніпулювання TTL

Надішліть деякі пакети з TTL достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. Потім надішліть інші пакети з такою ж послідовністю, як і інші, щоб IPS/IDS подумав, що вони є повторами і не перевіряв їх, але насправді вони несуть злоумисний вміст.

Параметр Nmap: --ttlvalue <value>

Уникання сигнатур

Просто додайте сміттєві дані до пакетів, щоб уникнути сигнатури IPS/IDS.

Параметр Nmap: --data-length 25

Фрагментовані пакети

Просто фрагментуйте пакети та надішліть їх. Якщо IDS/IPS не може їх зібрати, вони дістануться до кінцевого хоста.

Параметр Nmap: -f

Недійсна контрольна сума

Датчики зазвичай не обчислюють контрольну суму з міркувань продуктивності. Тому зловмисник може надіслати пакет, який буде інтерпретований сенсором, але відхилений кінцевим хостом. Наприклад:

Надішліть пакет з прапорцем RST та недійсною контрольною сумою, тоді IPS/IDS може подумати, що цей пакет закриє з'єднання, але кінцевий хост відкине пакет, оскільки контрольна сума недійсна.

Незвичайні параметри IP та TCP

Сенсор може ігнорувати пакети з певними прапорцями та параметрами, встановленими в заголовках IP та TCP, тоді як кінцевий хост приймає пакет при отриманні.

Перекривання

Можливо, коли ви фрагментуєте пакет, між пакетами існує яке-небудь перекриття (можливо, перші 8 байтів пакета 2 перекриваються з останніми 8 байтами пакета 1, а останні 8 байтів пакета 2 перекриваються з першими 8 байтами пакета 3). Тоді, якщо IDS/IPS збирає їх по-іншому, ніж кінцевий хост, буде інтерпретовано інший пакет. Або можливо, приходять 2 пакети з однаковим зміщенням, і хост повинен вирішити, який з них він бере.

• BSD: Має перевагу для пакетів з меншим зміщенням. Для пакетів з однаковим зміщенням він вибере перший.

• Linux: Як BSD, але він віддає перевагу останньому пакету з однаковим зміщенням.

• Перший (Windows): Перше значення, яке приходить, залишається.

• Останній (cisco): Останнє значення, яке приходить, залишається.

Інструменти

• https://github.com/vecna/sniffjoke