IDS/IPS Evasion Techniques

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Revisa el catálogo completo de HackTricks Training para las rutas de evaluación (ARTA/GRTA/AzRTA) y Linux Hacking Expert (LHE).

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord, al grupo de telegram, sigue @hacktricks_live en X/Twitter, o revisa la página de LinkedIn y el canal de YouTube.
• Comparte hacking tricks enviando PRs a los repositorios de github HackTricks y HackTricks Cloud.

TTL Manipulation

Envía algunos paquetes con un TTL suficiente para llegar al IDS/IPS pero no suficiente para llegar al sistema final. Después, envía otros paquetes con las mismas secuencias que los anteriores para que el IPS/IDS piense que son repeticiones y no los inspeccione, aunque en realidad transporten contenido malicioso.

Opción de Nmap: --ttlvalue <value>

Avoiding signatures

Simplemente añade datos basura a los paquetes para evitar la firma del IPS/IDS.

Opción de Nmap: --data-length 25

Fragmented Packets

Fragmenta los paquetes y envíalos. Si el IDS/IPS no tiene la capacidad de reensamblarlos, llegarán al host final.

Opción de Nmap: -f

Invalid checksum

Los sensores normalmente no calculan checksum por razones de rendimiento. Por lo tanto, un atacante puede enviar un paquete que será interpretado por el sensor pero rechazado por el host final. Ejemplo:

Envía un paquete con la bandera RST y un checksum inválido; entonces el IPS/IDS puede pensar que ese paquete cerrará la conexión, pero el host final descartará el paquete porque el checksum es inválido.

Uncommon IP and TCP options

Un sensor podría ignorar paquetes con ciertas banderas y opciones establecidas en las cabeceras IP y TCP, mientras que el host de destino acepta el paquete al recibirlo.

Overlapping

Es posible que al fragmentar un paquete exista cierto solapamiento entre paquetes (por ejemplo, los primeros 8 bytes del paquete 2 se solapan con los últimos 8 bytes del paquete 1, y los últimos 8 bytes del paquete 2 se solapan con los primeros 8 bytes del paquete 3). Entonces, si el IDS/IPS los reensambla de una manera diferente a la del host final, se interpretará un paquete distinto.
O tal vez lleguen 2 paquetes con el mismo offset y el host tenga que decidir cuál aceptar.

• BSD: Prefiere paquetes con offset más pequeño. Para paquetes con el mismo offset, elegirá el primero.
• Linux: Igual que BSD, pero prefiere el último paquete con el mismo offset.
• First (Windows): El primer valor que llega, es el que se mantiene.
• Last (cisco): El último valor que llega, es el que se mantiene.

TCP Stream Overlap / Reassembly Mismatch

Al igual que los fragmentos IP, los overlapping TCP segments pueden reensamblarse de forma distinta por el IDS/IPS y por el host de destino. Si el sensor y el host no coinciden sobre qué bytes prevalecen en el solapamiento, puedes colocar bytes benignos donde inspeccione el IDS/IDS y bytes maliciosos donde el host finalmente los reensamble.

• Envía primero un segmento benigno y luego un malicious overlapping segment (o invierte el orden) según la política de reensamblado del OS objetivo.
• Usa tiny overlaps para mantener el stream válido para el host mientras maximizas la ambigüedad para el sensor.

IPv6 Extension Headers & Fragment Tricks

IPv6 permite arbitrary header chains, y la cabecera de capa superior (TCP/UDP/ICMPv6) aparece después de todas las cabeceras de extensión. Si un dispositivo no analiza la cadena completa, puede ser eludido insertando extension headers o fragmentando de modo que la cabecera de la capa superior no sea visible donde el dispositivo la espera. RFC 7112 requires the entire IPv6 header chain to be present in the first fragment; los dispositivos que aceptan fragmentos minúsculos no conformes pueden ser evadidos empujando la cabecera L4 a fragmentos posteriores.

Practical patterns:

• Long extension-header chains para empujar la cabecera de capa superior más profundamente en el paquete.
• Small first fragments que contienen solo IPv6 + Fragment + options, dejando la cabecera L4 para fragmentos posteriores.
• Combinar extension headers + fragmentation para ocultar el protocolo real de capa superior a dispositivos que solo inspeccionan el primer fragmento.

Herramientas

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

Referencias

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Revisa el catálogo completo de HackTricks Training para las rutas de evaluación (ARTA/GRTA/AzRTA) y Linux Hacking Expert (LHE).

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord, al grupo de telegram, sigue @hacktricks_live en X/Twitter, o revisa la página de LinkedIn y el canal de YouTube.
• Comparte hacking tricks enviando PRs a los repositorios de github HackTricks y HackTricks Cloud.