IDS/IPS Τεχνικές Παράκαμψης

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

TTL Manipulation

Στείλτε κάποια πακέτα με TTL αρκετό για να φτάσουν στο IDS/IPS αλλά όχι αρκετό για να φτάσουν στο τελικό σύστημα. Στη συνέχεια στείλτε άλλα πακέτα με τις ίδιες ακολουθίες όπως τα προηγούμενα ώστε το IPS/IDS να νομίζει ότι είναι επαναλήψεις και να μην τα ελέγξει, ενώ στην πραγματικότητα μεταφέρουν κακόβουλο περιεχόμενο.

Nmap option: --ttlvalue <value>

Avoiding signatures

Απλώς προσθέστε άχρηστα δεδομένα (garbage) στα πακέτα ώστε να αποφευχθεί η ανίχνευση από signatures του IPS/IDS.

Nmap option: --data-length 25

Fragmented Packets

Απλώς κατακερματίστε (fragment) τα πακέτα και στείλτε τα. Εάν το IDS/IPS δεν έχει τη δυνατότητα να τα επανασυναρμολογήσει, θα φτάσουν στον τελικό host.

Nmap option: -f

Invalid checksum

Οι αισθητήρες συνήθως δεν υπολογίζουν το checksum για λόγους απόδοσης. Έτσι, ένας επιτιθέμενος μπορεί να στείλει ένα πακέτο που θα ερμηνευθεί από τον αισθητήρα αλλά θα απορριφθεί από τον τελικό host. Παράδειγμα:

Στείλτε ένα πακέτο με το flag RST και ένα μη έγκυρο checksum, έτσι το IPS/IDS μπορεί να νομίσει ότι αυτό το πακέτο θα κλείσει τη σύνδεση, αλλά ο τελικός host θα το αγνοήσει επειδή το checksum είναι άκυρο.

Uncommon IP and TCP options

Ένας αισθητήρας μπορεί να αγνοήσει πακέτα με ορισμένα flags και options στα IP και TCP headers, ενώ ο προορισμός να αποδεχτεί το πακέτο κατά την παραλαβή.

Overlapping

Είναι πιθανό όταν κατακερματίζετε ένα πακέτο να υπάρχει κάποιο είδος επικάλυψης (π.χ. τα πρώτα 8 bytes του πακέτου 2 επικαλύπτονται με τα τελευταία 8 bytes του πακέτου 1, και τα τελευταία 8 bytes του πακέτου 2 επικαλύπτονται με τα πρώτα 8 bytes του πακέτου 3). Τότε, αν το IDS/IPS τα επανασυναρμολογήσει διαφορετικά από τον τελικό host, θα ερμηνευθεί διαφορετικό πακέτο.
Ή ίσως, δύο πακέτα με τον ίδιο offset να φτάνουν και ο host να πρέπει να αποφασίσει ποιο θα λάβει.

• BSD: Προτιμά πακέτα με μικρότερο offset. Για πακέτα με ίδιο offset, επιλέγει το πρώτο.
• Linux: Όπως το BSD, αλλά προτιμά το τελευταίο πακέτο με το ίδιο offset.
• First (Windows): Πρώτη τιμή που έρχεται, τιμή που παραμένει.
• Last (cisco): Τελευταία τιμή που έρχεται, τιμή που παραμένει.

TCP Stream Overlap / Reassembly Mismatch

Όπως και τα IP fragments, τα overlapping TCP segments μπορούν να επανασυναρμολογηθούν διαφορετικά από το IDS/IPS και από τον τελικό host. Εάν ο αισθητήρας και ο host διαφωνούν στο ποια bytes υπερισχύουν στην επικάλυψη, μπορείτε να τοποθετήσετε ακίνδυνα bytes όπου κοιτά το IDS/IPS και κακόβουλα bytes όπου τελικά ο host τα επανασυναρμολογεί.

• Στείλτε πρώτα ένα ακίνδυνο segment και μετά ένα κακόβουλο επικαλυπτόμενο segment (ή αντιστρέψτε τη σειρά) ανάλογα με την πολιτική επανασυναρμολόγησης του target OS.
• Χρησιμοποιήστε μικρές επικαλύψεις για να κρατήσετε το stream έγκυρο για τον host ενώ μεγιστοποιείτε την ασάφεια για τον αισθητήρα.

IPv6 Extension Headers & Fragment Tricks

Το IPv6 επιτρέπει αλυσίδα προαιρετικών headers, και το upper-layer (TCP/UDP/ICMPv6) header εμφανίζεται μετά από όλα τα extension headers. Εάν μια συσκευή δεν αναλύει ολόκληρη την αλυσίδα, μπορεί να παρακαμφθεί με εισαγωγή extension headers ή με fragmentation ώστε το upper-layer header να μην είναι ορατό όπου η συσκευή το αναμένει. Το RFC 7112 απαιτεί ολόκληρη την αλυσίδα header του IPv6 να υπάρχει στο πρώτο fragment· συσκευές που αποδέχονται μη-συμβατά tiny fragments μπορούν να παρακαμφθούν μεταφέροντας το L4 header σε επόμενα fragments.

Πρακτικά μοτίβα:

• Μακριές αλυσίδες extension-header για να ωθήσουν το upper-layer header βαθύτερα στο πακέτο.
• Μικρά πρώτα fragments που περιέχουν μόνο IPv6 + Fragment + options, αφήνοντας το L4 header για μετέπειτα fragments.
• Συνδυασμός extension headers + fragmentation για να κρύψετε το πραγματικό upper-layer πρωτόκολλο από συσκευές που εξετάζουν μόνο το πρώτο fragment.

Tools

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

References

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.