IDS/IPS Evasion Techniques

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

TTL Manipulation

Pošaljite neke pakete sa TTL-om dovoljno velikim da stignu do IDS/IPS-a, ali nedovoljno da stignu do krajnjeg sistema. Zatim pošaljite druge pakete sa istim sekvencama kao prethodni tako da IPS/IDS pomisli da su ponavljanja i neće ih proveravati, a zapravo nose zlonamerni sadržaj.

Nmap opcija: --ttlvalue <value>

Avoiding signatures

Samo dodajte beskorisne podatke u pakete kako biste izbegli IPS/IDS signaturu.

Nmap opcija: --data-length 25

Fragmented Packets

Jednostavno fragmentujte pakete i pošaljite ih. Ako IDS/IPS nema mogućnost da ih ponovo sastavi, stići će do krajnjeg hosta.

Nmap opcija: -f

Invalid checksum

Senzori obično ne izračunavaju checksum iz razloga performansi. Dakle, napadač može poslati paket koji će biti interpretiran od strane senzora, ali će biti odbijen od strane krajnjeg hosta. Primer:

Pošaljite paket sa flagom RST i nevažećim checksum-om, tako da IPS/IDS može pomisliti da će ovaj paket zatvoriti konekciju, ali krajnji host će odbaciti paket jer je checksum nevažeći.

Uncommon IP and TCP options

Senzor može zanemariti pakete sa određenim flagovima i opcijama postavljenim u IP i TCP headerima, dok krajnji host prihvata paket po prijemu.

Overlapping

Moguće je da prilikom fragmentacije paketa dođe do preklapanja između paketa (na primer, prvih 8 bajtova paketa 2 se preklapa sa poslednjih 8 bajtova paketa 1, a poslednjih 8 bajtova paketa 2 se preklapa sa prvih 8 bajtova paketa 3). Ako IDS/IPS ponovo sastavi pakete drugačije nego krajnji host, biće interpretiran drugačiji paket.
Ili, mogu doći 2 paketa sa istim offset-om i host mora da odluči koji će uzeti.

  • BSD: Preferira pakete sa manjim offset. Za pakete sa istim offset-om izabraće prvi.
  • Linux: Kao BSD, ali preferira poslednji paket sa istim offset-om.
  • First (Windows): Prva vrednost koja stigne ostaje.
  • Last (cisco): Poslednja vrednost koja stigne ostaje.

TCP Stream Overlap / Reassembly Mismatch

Kao i kod IP fragmenta, overlapping TCP segments mogu biti ponovo sastavljeni drugačije od strane IDS/IPS-a i krajnjeg hosta. Ako se senzor i host ne slažu oko toga koji bajtovi “pobeđuju” u preklapanju, možete staviti benign bajtove tamo gde IDS/IPS gleda, a zlonamerne bajtove tamo gde host na kraju sastavi podatke.

  • Pošaljite benigni segment prvi i malicious overlapping segment kasnije (ili obrnuto) u zavisnosti od politike reassembliranja ciljnog OS-a.
  • Koristite tiny overlaps da zadržite tok važećim za host dok maksimizujete nejasnoću za senzor.

IPv6 Extension Headers & Fragment Tricks

IPv6 dozvoljava arbitrarne lance headera, i upper-layer (TCP/UDP/ICMPv6) header se pojavljuje posle svih extension headera. Ako uređaj ne parsira ceo lanac, može se zaobići ubacivanjem extension headera ili fragmentacijom tako da upper-layer header nije vidljiv tamo gde uređaj očekuje. RFC 7112 zahteva da ceo IPv6 header lanac bude prisutan u prvom fragmentu; uređaji koji prihvataju neusklađene tiny fragmente mogu biti zaobiđeni gurajući L4 header u kasnije fragmente.

Praktični obrasci:

  • Long extension-header chains da biste gurnuli upper-layer header dublje u paket.
  • Small first fragments koji sadrže samo IPv6 + Fragment + opcije, ostavljajući L4 header za kasnije fragmente.
  • Kombinovanje extension headers + fragmentation da sakrijete pravi upper-layer protokol od uređaja koji inspektuju samo prvi fragment.

Tools

References

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks