IDS and IPS Evasion
Маніпулювання TTL
Надішліть деякі пакети з TTL достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. Потім надішліть інші пакети з такою ж послідовністю, як і інші, щоб IPS/IDS подумав, що вони є повторами і не перевіряв їх, але насправді вони несуть злоумисний вміст.
Параметр Nmap: --ttlvalue <value>
Уникання сигнатур
Просто додайте сміттєві дані до пакетів, щоб уникнути сигнатури IPS/IDS.
Параметр Nmap: --data-length 25
Фрагментовані пакети
Просто фрагментуйте пакети та надішліть їх. Якщо IDS/IPS не може їх зібрати, вони дістануться до кінцевого хоста.
Параметр Nmap: -f
Недійсна контрольна сума
Датчики зазвичай не обчислюють контрольну суму з міркувань продуктивності. Тому зловмисник може надіслати пакет, який буде інтерпретований сенсором, але відхилений кінцевим хостом. Наприклад:
Надішліть пакет з прапорцем RST та недійсною контрольною сумою, тоді IPS/IDS може подумати, що цей пакет закриє з'єднання, але кінцевий хост відкине пакет, оскільки контрольна сума недійсна.
Незвичайні параметри IP та TCP
Сенсор може ігнорувати пакети з певними прапорцями та параметрами, встановленими в заголовках IP та TCP, тоді як кінцевий хост приймає пакет при отриманні.
Перекривання
Можливо, коли ви фрагментуєте пакет, між пакетами існує яке-небудь перекриття (можливо, перші 8 байтів пакета 2 перекриваються з останніми 8 байтами пакета 1, а останні 8 байтів пакета 2 перекриваються з першими 8 байтами пакета 3). Тоді, якщо IDS/IPS збирає їх по-іншому, ніж кінцевий хост, буде інтерпретовано інший пакет. Або можливо, приходять 2 пакети з однаковим зміщенням, і хост повинен вирішити, який з них він бере.
BSD: Має перевагу для пакетів з меншим зміщенням. Для пакетів з однаковим зміщенням він вибере перший.
Linux: Як BSD, але він віддає перевагу останньому пакету з однаковим зміщенням.
Перший (Windows): Перше значення, яке приходить, залишається.
Останній (cisco): Останнє значення, яке приходить, залишається.
Інструменти
Last updated