Técnicas de Evasão de IDS/IPS

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Navegue pelo catálogo completo do HackTricks Training para as trilhas de assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Support HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord, ao grupo do telegram, siga @hacktricks_live no X/Twitter, ou confira a página do LinkedIn e o canal do YouTube.
• Compartilhe hacking tricks enviando PRs para os repositórios github HackTricks e HackTricks Cloud.

Manipulação de TTL

Envie alguns pacotes com um TTL suficiente para chegar ao IDS/IPS, mas não o bastante para alcançar o sistema final. Em seguida, envie outros pacotes com as mesmas sequências dos anteriores para que o IPS/IDS os interprete como repetições e não os verifique, mas na verdade eles carregam conteúdo malicioso.

Nmap option: --ttlvalue <value>

Evitando assinaturas

Basta adicionar dados lixo aos pacotes para que a assinatura do IPS/IDS seja evitada.

Nmap option: --data-length 25

Pacotes fragmentados

Basta fragmentar os pacotes e enviá-los. Se o IDS/IPS não tiver capacidade de recompor os fragmentos, eles chegarão ao host final.

Nmap option: -f

Inválido checksum

Sensores geralmente não calculam checksum por motivos de desempenho. Assim, um atacante pode enviar um pacote que será interpretado pelo sensor mas rejeitado pelo host final. Exemplo:

Envie um pacote com a flag RST e um checksum inválido; então o IPS/IDS pode achar que esse pacote vai fechar a conexão, mas o host final descartará o pacote porque o checksum é inválido.

Opções IP e TCP incomuns

Um sensor pode ignorar pacotes com certas flags e opções nos cabeçalhos IP e TCP, enquanto o host de destino aceita o pacote ao recebê-lo.

Sobreposição

É possível que, ao fragmentar um pacote, exista algum tipo de sobreposição entre fragmentos (por exemplo, os primeiros 8 bytes do pacote 2 sobrepõem os últimos 8 bytes do pacote 1, e os últimos 8 bytes do pacote 2 sobrepõem os primeiros 8 bytes do pacote 3). Então, se o IDS/IPS os recompor de forma diferente do host final, um pacote diferente será interpretado.
Ou talvez dois pacotes com o mesmo offset cheguem e o host tenha que decidir qual deles aceitar.

• BSD: Prefere pacotes com offset menor. Para pacotes com o mesmo offset, escolherá o primeiro.
• Linux: Como o BSD, mas prefere o último pacote com o mesmo offset.
• First (Windows): Primeiro valor que chega, valor que permanece.
• Last (cisco): Último valor que chega, valor que permanece.

Sobreposição de fluxo TCP / Divergência na reconstrução

Como em fragmentos IP, segmentos TCP sobrepostos podem ser recombinados de forma diferente pelo IDS/IPS e pelo host de destino. Se o sensor e o host discordarem sobre quais bytes prevalecem na sobreposição, você pode colocar bytes benignos onde o IDS/IDS inspeciona e bytes maliciosos onde o host finalmente os reagrupa.

• Envie primeiro um segmento benigno e depois um segmento sobreposto malicioso (ou inverta a ordem) dependendo da política de reconstrução do OS alvo.
• Use sobreposições mínimas para manter o fluxo válido para o host enquanto maximiza a ambiguidade para o sensor.

Cabeçalhos de Extensão IPv6 & Truques de Fragmentação

IPv6 permite cadeias de cabeçalhos arbitrárias, e o cabeçalho da camada superior (TCP/UDP/ICMPv6) aparece após todos os cabeçalhos de extensão. Se um dispositivo não parsear a cadeia completa, ele pode ser contornado inserindo cabeçalhos de extensão ou fragmentando de forma que o cabeçalho da camada superior não seja visível onde o dispositivo espera. RFC 7112 exige que toda a cadeia de cabeçalhos IPv6 esteja presente no primeiro fragmento; dispositivos que aceitam fragmentos minúsculos não conformes podem ser evadidos empurrando o cabeçalho L4 para fragmentos posteriores.

Padrões práticos:

• Longas cadeias de cabeçalhos de extensão para empurrar o cabeçalho da camada superior mais para dentro do pacote.
• Primeiros fragmentos pequenos que contêm apenas IPv6 + Fragment + options, deixando o cabeçalho L4 para fragmentos posteriores.
• Combinar cabeçalhos de extensão + fragmentação para esconder o protocolo real da camada superior de dispositivos que inspecionam apenas o primeiro fragmento.

Ferramentas

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

Referências

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Navegue pelo catálogo completo do HackTricks Training para as trilhas de assessment (ARTA/GRTA/AzRTA) e Linux Hacking Expert (LHE).

Support HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord, ao grupo do telegram, siga @hacktricks_live no X/Twitter, ou confira a página do LinkedIn e o canal do YouTube.
• Compartilhe hacking tricks enviando PRs para os repositórios github HackTricks e HackTricks Cloud.