IDS/IPS Evasion Techniques

Tip

Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вчіться та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Перегляньте повний каталог HackTricks Training для assessment tracks (ARTA/GRTA/AzRTA) і Linux Hacking Expert (LHE).

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 Discord group, telegram group, слідкуйте за @hacktricks_live на X/Twitter, або перегляньте сторінку LinkedIn і YouTube channel.
• Діліться hacking tricks, надсилаючи PRs до репозиторіїв github HackTricks і HackTricks Cloud.

TTL Manipulation

Надішліть пакети з TTL, достатнім для досягнення IDS/IPS, але недостатнім для досягнення кінцевої системи. Потім надішліть інші пакети з тією ж послідовністю, щоб IPS/IDS вважав їх повтором і не перевіряв, тоді як вони насправді містять шкідливий вміст.

Опція Nmap: --ttlvalue <value>

Avoiding signatures

Додайте довільні зайві дані в пакети, щоб уникнути виявлення сигнатурою IPS/IDS.

Опція Nmap: --data-length 25

Fragmented Packets

Просто фрагментуйте пакети й надсилайте їх. Якщо IDS/IPS не в змозі їх рекомпонувати, вони дійдуть до кінцевого хоста.

Опція Nmap: -f

Invalid checksum

Сенсори зазвичай не обчислюють checksum з міркувань продуктивності. Тому атакуючий може надіслати пакет, який буде інтерпретований сенсором, але відкинутий кінцевим хостом. Приклад:

Надішліть пакет з прапором RST і некоректним checksum, тоді IPS/IDS може подумати, що цей пакет закриває з’єднання, але кінцевий хост відкине пакет через неправильний checksum.

Uncommon IP and TCP options

Сенсор може ігнорувати пакети з певними прапорами та опціями в заголовках IP і TCP, тоді як кінцевий хост прийме цей пакет при отриманні.

Overlapping

Може статися, що при фрагментації пакету між пакетами виникає перекриття (наприклад, перші 8 байтів пакету 2 перекриваються з останніми 8 байтами пакету 1, а останні 8 байт пакету 2 перекриваються з першими 8 байтами пакету 3). Якщо IDS/IPS збирає їх інакше, ніж кінцевий хост, інтерпретований пакет буде відрізнятися.
Або ж можуть прийти 2 пакети з однаковим offset, і хост має вирішити, який із них прийняти.

• BSD: Віддає перевагу пакетам з меншим offset. Для пакетів з однаковим offset вибирає перший.
• Linux: Як і BSD, але віддає перевагу останньому пакету з тим самим offset.
• First (Windows): перше значення, яке приходить, залишається.
• Last (cisco): останнє значення, яке приходить, залишається.

TCP Stream Overlap / Reassembly Mismatch

Як і IP-фрагменти, overlapping TCP segments можуть бути зібрані по-різному сенсором і кінцевим хостом. Якщо сенсор і хост не погоджуються щодо того, які байти “перемагають” в області перекриття, можна помістити нешкідливі байти там, де дивиться IDS/IPS, і шкідливі — там, де хост їх остаточно збирає.

• Надішліть спочатку нешкідливий сегмент, а потім malicious overlapping segment (або навпаки) залежно від політики реасемблювання цільової ОС.
• Використовуйте tiny overlaps, щоб зберегти стрім валідним для хоста, одночасно максимізуючи неоднозначність для сенсора.

IPv6 Extension Headers & Fragment Tricks

IPv6 дозволяє arbitrary header chains, і верхньошаровий (TCP/UDP/ICMPv6) заголовок з’являється після усіх extension headers. Якщо пристрій не розбирає повний ланцюжок, його можна обійти, вставивши extension headers або шляхом фрагментації так, щоб верхньошаровий заголовок не був видимий там, де пристрій його очікує. RFC 7112 вимагає наявності всього ланцюжка заголовків IPv6 у першому фрагменті; пристрої, що приймають некомплайентні маленькі фрагменти, можна обійти, перемістивши L4 заголовок у пізніші фрагменти.

Практичні шаблони:

• Long extension-header chains для заглиблення верхньошарового заголовка.
• Small first fragments, що містять лише IPv6 + Fragment + options, залишаючи L4 заголовок для пізніших фрагментів.
• Комбінація extension headers + fragmentation для приховування реального верхньошарового протоколу від пристроїв, що інспектують лише перший фрагмент.

Інструменти

• https://github.com/vecna/sniffjoke
• https://github.com/secdev/scapy

Джерела

• https://www.rfc-editor.org/rfc/rfc7112
• https://www.rfc-editor.org/rfc/rfc9098

Tip

Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вчіться та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Перегляньте повний каталог HackTricks Training для assessment tracks (ARTA/GRTA/AzRTA) і Linux Hacking Expert (LHE).

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 Discord group, telegram group, слідкуйте за @hacktricks_live на X/Twitter, або перегляньте сторінку LinkedIn і YouTube channel.
• Діліться hacking tricks, надсилаючи PRs до репозиторіїв github HackTricks і HackTricks Cloud.