IDS/IPS Evasion Techniques

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Blaai deur die volledige HackTricks Training-katalogus vir die assesseringsroetes (ARTA/GRTA/AzRTA) en Linux Hacking Expert (LHE).

Ondersteun HackTricks

• Kyk na die intekenplanne!
• Sluit aan by die 💬 Discord-groep, die telegram-groep, volg @hacktricks_live op X/Twitter, of kyk na die LinkedIn-bladsy en YouTube-kanaal.
• Deel hacking tricks deur PRs in te stuur na die HackTricks en HackTricks Cloud github repos.

TTL Manipulation

Stuur ’n paar packets met ’n TTL wat genoeg is om by die IDS/IPS te kom, maar nie genoeg om by die finale stelsel te arriveer nie. Stuur dan ander packets met dieselfde sekwensies as die eerste sodat die IPS/IDS dink dit is herhalings en dit nie sal nagaan nie, terwyl hulle in werklikheid kwaadwillige inhoud dra.

Nmap option: --ttlvalue <value>

Avoiding signatures

Voeg bloot rommeldata by die packets sodat die IPS/IDS-handtekening omseil word.

Nmap option: --data-length 25

Fragmented Packets

Fragmenteer eenvoudig die packets en stuur dit. As die IDS/IPS nie die vermoë het om dit weer saam te stel nie, sal hulle by die finale host aankom.

Nmap option: -f

Invalid checksum

Sensors bereken gewoonlik nie die checksum nie om prestasie-redes. Dus kan ’n aanvaller ’n packet stuur wat deur die sensor geïnterpreteer word maar deur die finale host verwerp sal word. Voorbeeld:

Stuur ’n packet met die vlag RST en ’n ongeldige checksum, sodat die IPS/IDS mag dink dat hierdie packet die verbinding gaan sluit, maar die finale host die packet sal verwerp omdat die checksum ongeldig is.

Uncommon IP and TCP options

’n Sensor mag packets ignoreer wat sekere flags en opsies in IP- en TCP-koppe het, terwyl die bestemmingshost die packet by ontvangs aanvaar.

Overlapping

Dit is moontlik dat wanneer jy ’n packet fragmenteer, daar oorvleueling tussen packets bestaan (byvoorbeeld die eerste 8 bytes van packet 2 oorvleuel met die laaste 8 bytes van packet 1, en die laaste 8 bytes van packet 2 oorvleuel met die eerste 8 bytes van packet 3). As die IDS/IPS dit anders saamstel as die finale host, sal ’n ander packet geïnterpreteer word.
Of dalk kom 2 packets met dieselfde offset en moet die host besluit watter een hy neem.

• BSD: Dit het voorkeur vir packets met kleiner offset. Vir packets met dieselfde offset kies dit die eerste een.
• Linux: Soos BSD, maar dit verkies die laaste packet met dieselfde offset.
• First (Windows): Eerste waarde wat kom, die waarde wat bly.
• Last (cisco): Laaste waarde wat kom, die waarde wat bly.

TCP Stream Overlap / Reassembly Mismatch

Soos IP-fragments, kan overlapping TCP segments deur die IDS/IPS en deur die bestemmingshost anders saamgestel word. As die sensor en die host verskil oor watter bytes wen in die oorvleueling, kan jy bonafide bytes plaas waar die IDS/IPS kyk en kwaadwillige bytes waar die host hulle uiteindelik saamsit.

• Stuur eers ’n onskuldige segment en later ’n malicious overlapping segment (of keer die volgorde om) afhangende van die teiken-OS se saamsitbeleid.
• Gebruik tiny overlaps om die stroom geldend vir die host te hou terwyl jy die ambiguïteit vir die sensor maksimeer.

IPv6 Extension Headers & Fragment Tricks

IPv6 laat arbitrary header chains toe, en die upper-layer (TCP/UDP/ICMPv6) header verskyn na alle extension headers. As ’n toestel nie die volledige ketting parse nie, kan dit omseil word deur extension headers in te voeg of deur te fragmenteer sodat die upper-layer header nie zichtbaar is waar die toestel dit verwag nie. RFC 7112 vereis dat die hele IPv6 header chain in die eerste fragment voorkom; toestelle wat nie-konforme tiny fragments aanvaar kan omseil word deur die L4 header na later fragments te druk.

Praktiese patrone:

• Long extension-header chains om die upper-layer header dieper in die packet te druk.
• Small first fragments wat slegs IPv6 + Fragment + opsies bevat, en die L4 header vir later fragments loslaat.
• Kombineer extension headers + fragmentation om die regte upper-layer protokol te verberg voor toestelle wat slegs die eerste fragment inspekteer.

Tools

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

References

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Blaai deur die volledige HackTricks Training-katalogus vir die assesseringsroetes (ARTA/GRTA/AzRTA) en Linux Hacking Expert (LHE).

Ondersteun HackTricks

• Kyk na die intekenplanne!
• Sluit aan by die 💬 Discord-groep, die telegram-groep, volg @hacktricks_live op X/Twitter, of kyk na die LinkedIn-bladsy en YouTube-kanaal.
• Deel hacking tricks deur PRs in te stuur na die HackTricks en HackTricks Cloud github repos.