IDS/IPS Técnicas de evasión

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

TTL Manipulation

Envía algunos paquetes con un TTL suficiente para llegar al IDS/IPS pero no suficiente para llegar al sistema final. Después, envía otros paquetes con las mismas secuencias que los anteriores para que el IPS/IDS piense que son repeticiones y no los inspeccione, aunque en realidad llevan contenido malicioso.

Nmap option: --ttlvalue <value>

Avoiding signatures

Añade datos basura a los paquetes para evitar la firma del IPS/IDS.

Nmap option: --data-length 25

Fragmented Packets

Fragmenta los paquetes y envíalos. Si el IDS/IPS no tiene la capacidad de reensamblarlos, llegarán al host final.

Nmap option: -f

Invalid checksum

Los sensores normalmente no calculan el checksum por motivos de rendimiento. Así, un atacante puede enviar un paquete que será interpretado por el sensor pero rechazado por el host final. Ejemplo:

Envía un paquete con la bandera RST y un checksum inválido; entonces el IPS/IDS puede pensar que ese paquete cerrará la conexión, pero el host final descartará el paquete porque el checksum es inválido.

Uncommon IP and TCP options

Un sensor puede ignorar paquetes con ciertas flags u opciones establecidas en los encabezados IP y TCP, mientras que el host de destino acepta el paquete al recibirlo.

Overlapping

Es posible que al fragmentar un paquete exista algún tipo de solapamiento entre paquetes (por ejemplo, los primeros 8 bytes del paquete 2 se solapan con los últimos 8 bytes del paquete 1, y los últimos 8 bytes del paquete 2 se solapan con los primeros 8 bytes del paquete 3). Entonces, si el IDS/IPS los reensambla de forma distinta al host final, se interpretará un paquete diferente.
O quizá lleguen 2 paquetes con el mismo offset y el host deba decidir cuál aceptar.

• BSD: Tiene preferencia por paquetes con menor offset. Para paquetes con el mismo offset, elegirá el primero.
• Linux: Igual que BSD, pero prefiere el último paquete con el mismo offset.
• First (Windows): El primer valor que llega, es el que queda.
• Last (cisco): El último valor que llega, es el que queda.

TCP Stream Overlap / Reassembly Mismatch

Al igual que los fragmentos IP, los segmentos TCP solapados pueden reensamblarse de forma distinta por el IDS/IPS y por el host de destino. Si el sensor y el host discrepan sobre qué bytes prevalecen en el solapamiento, puedes colocar bytes benignos donde mira el IDS/IDS y bytes maliciosos donde el host finalmente los reensambla.

• Envía primero un segmento benigno y luego un segmento solapado malicioso (o invierte el orden) según la política de reensamblado del SO objetivo.
• Usa solapamientos mínimos para mantener el flujo válido para el host mientras maximizas la ambigüedad para el sensor.

IPv6 Extension Headers & Fragment Tricks

IPv6 permite cadenas arbitrarias de encabezados, y el encabezado de capa superior (TCP/UDP/ICMPv6) aparece después de todos los encabezados de extensión. Si un dispositivo no analiza la cadena completa, puede omitirse insertando encabezados de extensión o fragmentando de modo que el encabezado de capa superior no sea visible donde el dispositivo lo espera. RFC 7112 requiere que la cadena completa de encabezados IPv6 esté presente en el primer fragmento; los dispositivos que aceptan fragmentos diminutos no conformes pueden ser evadidos empujando el encabezado L4 a fragmentos posteriores.

Patrones prácticos:

• Long extension-header chains para empujar el encabezado de la capa superior más adentro del paquete.
• Small first fragments que contienen solo IPv6 + Fragment + options, dejando el encabezado L4 para fragmentos posteriores.
• Combinar extension headers + fragmentation para ocultar el protocolo real de capa superior de dispositivos que solo inspeccionan el primer fragmento.

Herramientas

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

Referencias

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.