IDS/IPS Evasion Techniques

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

TTL Manipulation

Tuma baadhi ya packets zenye TTL ya kutosha kufikia IDS/IPS lakini isitoshe kufikia mfumo wa mwisho. Kisha, tuma packets nyingine zenye sequences sawa na zile ili IPS/IDS ifikiri ni kurudia na isiangalie, lakini kwa hakika zina yaliyomo ya uharibu.

Nmap option: --ttlvalue <value>

Avoiding signatures

Ongeza tu garbage data kwenye packets ili kuepuka IPS/IDS signature.

Nmap option: --data-length 25

Fragmented Packets

Gawa tu packets kisha zitume. Ikiwa IDS/IPS haina uwezo wa kuziunganisha tena, zitafika kwenye host wa mwisho.

Nmap option: -f

Invalid checksum

Sensors kawaida hazihesabu checksum kwa sababu za utendaji. Hivyo mshambulizi anaweza kutuma packet ambayo itatafsiriwa na sensor lakini itakubaliwa na host wa mwisho. Mfano:

Tuma packet yenye flag RST na checksum isiyo sahihi, hivyo IPS/IDS inaweza kufikiri packet hiyo itaweka mwisho wa connection, lakini host wa mwisho atakataa packet kwani checksum ni batili.

Uncommon IP and TCP options

Sensor inaweza kupuuza packets zenye flags na options fulani zilizowekwa ndani ya vichwa vya IP na TCP, wakati host ya kusudi inakubali packet inaporipotiwa.

Overlapping

Inawezekana kwamba unapogawa packet, kuna aina fulani ya overlapping kati ya packets (labda first 8 bytes za packet 2 zinapata overlap na last 8 bytes za packet 1, na last 8 bytes za packet 2 zinapata overlap na first 8 bytes za packet 3). Kisha, ikiwa IDS/IPS inaziunganisha tena kwa njia tofauti na host wa mwisho, packet tofauti itaeleweka.
Au pengine, packets 2 zenye offset sawa zinakuja na host lazima iamue ipi itakayochukuliwa.

  • BSD: Inapendelea packets zenye offset ndogo. Kwa packets zenye offset sawa, itachagua ile ya kwanza.
  • Linux: Kama BSD, lakini inapendelea packet ya mwisho yenye offset sawa.
  • First (Windows): Thamani ya kwanza inayokuja, ndiyo inayobaki.
  • Last (cisco): Thamani ya mwisho inayokuja, ndiyo inayobaki.

TCP Stream Overlap / Reassembly Mismatch

Kama fragments za IP, overlapping TCP segments zinaweza kuunganishwa tena kwa njia tofauti na IDS/IPS na na host ya kusudi. Ikiwa sensor na host hawaelewani juu ya which bytes win katika overlap, unaweza kuweka bytes zisizo hatari mahali sensor inaangalia na bytes zenye uharibifu mahali host inazoweka mwisho.

  • Tuma segment isiyo hatari kwanza na malicious overlapping segment baadaye (au geuza mpangilio) kulingana na sera ya reassembly ya OS ya lengo.
  • Tumia tiny overlaps ili kuweka stream kuwa halali kwa host huku ukiongeza kutoeleweka kwa sensor.

IPv6 Extension Headers & Fragment Tricks

IPv6 inaruhusu arbitrary header chains, na header ya upper-layer (TCP/UDP/ICMPv6) inaonekana baada ya extension headers zote. Ikiwa kifaa hakichambui mnyororo mzima, kinaweza kupitwa kwa kuingiza extension headers au kwa kugawa ili header ya upper-layer isionekane mahali kifaa kinayotarajia. RFC 7112 inahitaji mnyororo mzima wa vichwa vya IPv6 uwe katika fragment ya kwanza; vifaa vinavyokubali fragments ndogo zisizofuatana na viwango vinaweza kupitishwa kwa kusukuma L4 header katika fragments za baadaye.

Mifano ya vitendo:

  • Long extension-header chains kusukuma upper-layer header ndani zaidi ya packet.
  • Small first fragments zenye IPv6 + Fragment + options tu, zikiacha L4 header kwa fragments za baadaye.
  • Kuunganisha extension headers + fragmentation kuficha protocol halisi ya upper-layer kutoka kwa vifaa vinavyotazama fragment ya kwanza pekee.

Zana

Marejeleo

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks