IDS/IPS Evasion Techniques

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Durchsuche den vollständigen HackTricks Training-Katalog nach den Assessment-Tracks (ARTA/GRTA/AzRTA) und Linux Hacking Expert (LHE).

Support HackTricks

• Sieh dir die subscription plans an!
• Tritt der 💬 Discord group, der telegram group bei, folge @hacktricks_live auf X/Twitter, oder schau dir die LinkedIn page und den YouTube channel an.
• Teile hacking tricks, indem du PRs in die HackTricks und HackTricks Cloud github repos einreichst.

TTL Manipulation

Sende einige Pakete mit einem TTL, das ausreicht, um beim IDS/IPS anzukommen, aber nicht beim Zielsystem. Sende dann weitere Pakete mit denselben Sequenzen wie die vorherigen, sodass das IPS/IDS sie als Wiederholungen interpretiert und nicht überprüft — dabei enthalten sie tatsächlich bösartigen Inhalt.

Nmap option: --ttlvalue <value>

Avoiding signatures

Füge einfach Garbage-Daten zu den Paketen hinzu, damit die IPS/IDS-Signatur umgangen wird.

Nmap option: --data-length 25

Fragmented Packets

Fragmentiere die Pakete und sende sie. Wenn das IDS/IPS sie nicht reassemblieren kann, erreichen sie den Zielhost.

Nmap option: -f

Invalid checksum

Sensoren berechnen aus Performance-Gründen üblicherweise keine Checksummen. Ein Angreifer kann daher ein Paket senden, das vom Sensor interpretiert, aber vom Zielhost abgewiesen wird. Beispiel:

Sende ein Paket mit dem Flag RST und einer ungültigen Checksumme. Das IPS/IDS könnte dann denken, dieses Paket schließe die Verbindung, während der Zielhost es wegen der ungültigen Checksumme verwerfen wird.

Uncommon IP and TCP options

Ein Sensor könnte Pakete mit bestimmten Flags und Optionen in den IP- und TCP-Headern ignorieren, während der Zielhost das Paket beim Empfang akzeptiert.

Overlapping

Es ist möglich, dass beim Fragmentieren eines Pakets eine Überlappung zwischen Fragmenten entsteht (z. B. überschneiden sich die ersten 8 Bytes von Fragment 2 mit den letzten 8 Bytes von Fragment 1, und die letzten 8 Bytes von Fragment 2 überschneiden die ersten 8 Bytes von Fragment 3). Wenn das IDS/IPS diese anders reassemblieren als der Zielhost, wird ein anderes Paket interpretiert. Oder es kommen zwei Fragmente mit demselben Offset, und das Zielsystem muss entscheiden, welches es verwendet.

• BSD: Bevorzugt Pakete mit kleinerem offset. Bei Paketen mit demselben Offset wählt es das erste.
• Linux: Wie BSD, aber es bevorzugt das letzte Paket mit demselben Offset.
• First (Windows): Der erste Wert, der ankommt, bleibt.
• Last (cisco): Der letzte Wert, der ankommt, bleibt.

TCP Stream Overlap / Reassembly Mismatch

Wie bei IP-Fragmenten können overlapping TCP segments vom IDS/IPS und vom Zielhost unterschiedlich reassembliert werden. Wenn Sensor und Host sich darüber uneinig sind, which bytes win in der Überlappung, kannst du harmlose Bytes dort platzieren, wo das IDS/IPS hinschaut, und bösartige Bytes dort, wo der Host sie schließlich zusammenfügt.

• Sende zuerst ein harmloses Segment und später ein malicious overlapping segment (oder invertiere die Reihenfolge) abhängig von der Reassembly-Policy des Ziel-OS.
• Nutze tiny overlaps, um den Stream für den Host gültig zu halten und gleichzeitig die Ambiguität für den Sensor zu maximieren.

IPv6 Extension Headers & Fragment Tricks

IPv6 erlaubt arbitrary header chains, und der upper-layer (TCP/UDP/ICMPv6) Header erscheint after allen Extension-Headern. Wenn ein Gerät die gesamte Chain nicht parst, kann es durch Einfügen von Extension-Headern oder durch Fragmentierung umgangen werden, sodass der upper-layer Header dort nicht sichtbar ist, wo das Gerät ihn erwartet. RFC 7112 requires the entire IPv6 header chain to be present in the first fragment; Geräte, die nicht-konforme Tiny-Fragmente akzeptieren, können umgangen werden, indem der L4-Header in spätere Fragmente verschoben wird.

Praktische Muster:

• Long extension-header chains um den upper-layer Header tiefer ins Paket zu schieben.
• Small first fragments die nur IPv6 + Fragment + Optionen enthalten und den L4-Header für spätere Fragmente zurücklassen.
• Kombination aus extension headers + fragmentation, um das tatsächliche upper-layer Protokoll vor Geräten zu verbergen, die nur das erste Fragment inspizieren.

Tools

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

References

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Durchsuche den vollständigen HackTricks Training-Katalog nach den Assessment-Tracks (ARTA/GRTA/AzRTA) und Linux Hacking Expert (LHE).

Support HackTricks

• Sieh dir die subscription plans an!
• Tritt der 💬 Discord group, der telegram group bei, folge @hacktricks_live auf X/Twitter, oder schau dir die LinkedIn page und den YouTube channel an.
• Teile hacking tricks, indem du PRs in die HackTricks und HackTricks Cloud github repos einreichst.