IDS/IPS Evasion Techniques

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

TTL Manipulation

ऐसे कुछ packets भेजें जिनका TTL इतना हो कि वे IDS/IPS तक तो पहुँचें पर final system तक न पहुँचें। फिर, उन्हीं sequences वाले और packets भेजें ताकि IPS/IDS उन्हें repetition समझकर चेक न करे, जबकि वे वास्तव में malicious content लेकर आते हों।

Nmap विकल्प: --ttlvalue <value>

Avoiding signatures

Packets में garbage data जोड़ दें ताकि IPS/IDS signature को बायपास किया जा सके।

Nmap विकल्प: --data-length 25

Fragmented Packets

Packets को fragment करके भेज दें। अगर IDS/IPS के पास उन्हें reassemble करने की क्षमता नहीं है, तो वे final host तक पहुँच जाएंगे।

Nmap विकल्प: -f

Invalid checksum

Sensors आमतौर पर performance कारणों से checksum की गणना नहीं करते। इसलिए attacker ऐसा packet भेज सकता है जिसे sensor interpret कर लेगा लेकिन final host reject कर देगा। उदाहरण:

RST flag वाला और invalid checksum वाला packet भेजें; तब IPS/IDS सोच सकता है कि यह connection बंद कर रहा है, जबकि final host checksum invalid होने की वजह से packet discard कर देगा।

Uncommon IP and TCP options

कुछ sensors उन packets को नजरअंदाज़ कर सकते हैं जिनमें IP और TCP headers के भीतर कुछ खास flags और options सेट हों, जबकि destination host उन्हें स्वीकार कर लेता है।

Overlapping

यह संभव है कि जब आप packet को fragment करते हैं, packets के बीच कुछ प्रकार का overlapping हो (उदाहरण के लिए packet 2 के पहले 8 bytes, packet 1 के आखिरी 8 bytes के साथ overlap कर रहे हों, और packet 2 के आखिरी 8 bytes, packet 3 के पहले 8 bytes के साथ overlap कर रहे हों)। फिर, अगर IDS/IPS उन्हें final host से अलग तरह से reassemble करता है, तो अलग packet interpret होगा.
Or maybe, 2 packets with the same offset comes and the host has to decide which one it takes.

  • BSD: यह smaller offset वाले packets को प्राथमिकता देता है। समान offset वाले packets के लिए यह पहले वाले को चुनेगा।
  • Linux: BSD जैसा, पर समान offset वाले मामलों में यह last packet को प्राथमिकता देता है।
  • First (Windows): जो value पहले आती है, वही रहती है।
  • Last (cisco): जो value आख़िर में आती है वही रहती है।

TCP Stream Overlap / Reassembly Mismatch

Like IP fragments, overlapping TCP segments को IDS/IPS और destination host अलग-अलग तरीके से reassemble कर सकते हैं। अगर sensor और host overlap में इस बात पर असहमत हों कि which bytes win, तो आप जहाँ IDS/IPS देखता है वहाँ benign bytes और जहाँ host अंत में reassemble करता है वहाँ malicious bytes रख सकते हैं।

  • पहले benign segment भेजें और बाद में malicious overlapping segment भेजें (या order invert करें) target OS reassembly policy के अनुसार।
  • tiny overlaps का उपयोग करें ताकि host के लिए stream valid रहे और sensor के लिए ambiguity अधिकतम हो।

IPv6 Extension Headers & Fragment Tricks

IPv6 arbitrary header chains की अनुमति देता है, और upper-layer (TCP/UDP/ICMPv6) header सभी extension headers के बाद आता है। अगर कोई device पूरी chain को parse नहीं करता, तो उसे extension headers insert करके या fragment करके bypass किया जा सकता है ताकि upper-layer header उस जगह दिखाई न दे जहाँ device अपेक्षा करता है। RFC 7112 requires the entire IPv6 header chain to be present in the first fragment; जो devices non-compliant tiny fragments स्वीकार करते हैं, उन्हें L4 header को बाद के fragments में धकेलकर evade किया जा सकता है।

Practical patterns:

  • Long extension-header chains ताकि upper-layer header packet के अंदर और गहरा चला जाए।
  • Small first fragments जो केवल IPv6 + Fragment + options रखते हैं, और L4 header बाद के fragments के लिए छोड़ देते हैं।
  • extension headers + fragmentation को combine करके उन devices से असली upper-layer protocol छिपाया जा सकता है जो केवल पहली fragment को inspect करते हैं।

उपकरण

संदर्भ

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें