IDS and IPS Evasion
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
通过 8kSec 学院深化您在 移动安全 方面的专业知识。通过我们的自学课程掌握 iOS 和 Android 安全并获得认证:
发送一些 TTL 足够到达 IDS/IPS 但不足以到达最终系统的数据包。然后,发送另一些与其他数据包相同序列的数据包,以便 IPS/IDS 会认为它们是重复的而不会检查,但实际上它们携带恶意内容。
Nmap 选项: --ttlvalue <value>
只需向数据包中添加垃圾数据,以避免 IPS/IDS 签名。
Nmap 选项: --data-length 25
只需将数据包分片并发送。如果 IDS/IPS 没有重组它们的能力,它们将到达最终主机。
Nmap 选项: -f
传感器通常出于性能原因不计算校验和。因此,攻击者可以发送一个数据包,该数据包将被 传感器解释但被最终主机拒绝。 示例:
发送一个带有 RST 标志和无效校验和的数据包,因此,IPS/IDS 可能认为该数据包将关闭连接,但最终主机将丢弃该数据包,因为校验和无效。
传感器可能会忽略某些标志和选项设置在 IP 和 TCP 头中的数据包,而目标主机在接收时接受该数据包。
当您分片一个数据包时,可能会在数据包之间存在某种重叠(也许数据包 2 的前 8 字节与数据包 1 的最后 8 字节重叠,数据包 2 的最后 8 字节与数据包 3 的前 8 字节重叠)。然后,如果 IDS/IPS 以不同于最终主机的方式重组它们,将会解释为不同的数据包。 或者,也许,两个具有相同偏移量的数据包到达,主机必须决定选择哪个。
BSD:优先选择偏移量较小的数据包。对于具有相同偏移量的数据包,将选择第一个。
Linux:与 BSD 类似,但它优先选择具有相同偏移量的最后一个数据包。
First(Windows):第一个到达的值,保持该值。
Last(cisco):最后一个到达的值,保持该值。
通过 8kSec 学院深化您在 移动安全 方面的专业知识。通过我们的自学课程掌握 iOS 和 Android 安全并获得认证:
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
