IDS/IPS Ontduikingstegnieke

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

TTL-manipulasie

Stuur ’n paar pakkette met ’n TTL wat genoeg is om by die IDS/IPS uit te kom maar nie genoeg om by die finale stelsel uit te kom nie. Stuur dan ander pakkette met dieselfde sekwensies as die ander sodat die IPS/IDS dink dit is herhalings en dit nie sal kontroleer nie, maar in werklikheid dra hulle die kwaadwillige inhoud.

Nmap-opsie: --ttlvalue <value>

Vermy handtekeninge

Voeg net rommeldata by die pakkette sodat die IPS/IDS-handtekening vermy word.

Nmap-opsie: --data-length 25

Gefragmenteerde pakkette

Fragmenteer net die pakkette en stuur hulle. As die IDS/IPS nie die vermoë het om hulle te herassambleer nie, sal hulle by die finale gasheer uitkom.

Nmap-opsie: -f

Ongeldige kontrolesom

Sensore bereken gewoonlik nie kontrolesomme nie om prestasie-redes. Dus kan ’n aanvaller ’n pakket stuur wat deur die sensor geïnterpreteer word maar deur die finale gasheer verwerp sal word. Voorbeeld:

Stuur ’n pakket met die vlag RST en ’n ongeldige kontrolesom, sodat die IPS/IDS mag dink dat hierdie pakket die verbinding gaan sluit, maar die finale gasheer sal die pakket weggooi omdat die kontrolesom ongeldig is.

Ongewone IP- en TCP-opsies

’n Sensor kan pakkette ignoreer met sekere vlagte en opsies wat in IP- en TCP-koppe gestel is, terwyl die bestemmingsgasheer die pakket by ontvangs aanvaar.

Oorlapping

Dit is moontlik dat wanneer jy ’n pakket fragmenteer, ’n soort oorlapping tussen pakkette bestaan (misschien oorlap die eerste 8 bytes van pakket 2 met die laaste 8 bytes van pakket 1, en die laaste 8 bytes van pakket 2 oorlap met die eerste 8 bytes van pakket 3). Dan, as die IDS/IPS hulle in ’n ander manier herassambleer as die finale gasheer, sal ’n ander pakket geïnterpreteer word.
Of dalk kom 2 pakkette met dieselfde offset en moet die gasheer besluit watter een hy neem.

• BSD: Dit het voorkeur vir pakkette met kleiner offset. Vir pakkette met dieselfde offset kies dit die eerste een.
• Linux: Soos BSD, maar dit verkies die laaste pakket met dieselfde offset.
• First (Windows): Eerste waarde wat inkom, bly die waarde.
• Last (cisco): Laaste waarde wat inkom, bly die waarde.

TCP-stroomoorlapping / herassameling-onenigheid

Soos IP-fragmente kan oorlappende TCP-segmente anders herassambleer word deur die IDS/IPS en deur die bestemmingsgasheer. As die sensor en die gasheer nie saamstem oor watter bytes wen in die oorlapping nie, kan jy benigne bytes plaas waar die IDS/IPS kyk en kwaadwillige bytes waar die gasheer hulle uiteindelik herassambleer.

• Stuur ’n benigne segment eerste en ’n kwaadwillige oorlappende segment later (of draai die volgorde om) afhangend van die teiken-OS se herassamelingbeleid.
• Gebruik klein oorlappings om die stroom geldig te hou vir die gasheer terwyl jy ambiguïteit vir die sensor maksimeer.

IPv6-uitbreidingskoppe & fragmenttruuks

IPv6 laat arbritêre header-kettings toe, en die hoërlaag (TCP/UDP/ICMPv6) header verskyn na al die uitbreidingkoppe. As ’n toestel nie die volledige ketting ontleed nie, kan dit omseil word deur uitbreidingkoppe in te voeg of deur te fragmenteer sodat die hoërlaag-header nie sigbaar is waar die toestel dit verwag nie. RFC 7112 vereis dat die hele IPv6-headerketting in die eerste fragment teenwoordig is; toestelle wat nie-kloppende klein fragmente aanvaar, kan omseil word deur die L4-header na later fragmente te dring.

Praktiese patrone:

• Lang uitbreiding-header-kettings om die hoërlaag-header dieper in die pakket te druk.
• Klein eerste fragmente wat net IPv6 + Fragment + opsies bevat, en die L4-header vir latere fragmente laat.
• Kombineer uitbreidingkoppe + fragmentering om die werklike hoërlaagprotokol te verberg vir toestelle wat slegs die eerste fragment inspekteer.

Gereedskap

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

Verwysings

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.