hacktricks/generic-methodologies-and-resources/pentesting-network/ids-evasion.md

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia dla HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Manipulacja TTL

Wysyłaj pakiety z TTL wystarczającym, aby dotrzeć do IDS/IPS, ale niewystarczającym, aby dotrzeć do ostatecznego systemu. Następnie wysyłaj inne pakiety o tych samych sekwencjach, aby IPS/IDS myślał, że są to powtórzenia i ich nie sprawdzał, podczas gdy faktycznie przenoszą złośliwe treści.

Opcja Nmap: --ttlvalue <wartość>

Unikanie sygnatur

Dodaj po prostu dane śmieciowe do pakietów, aby uniknąć sygnatury IPS/IDS.

Opcja Nmap: --data-length 25

Pakiety z fragmentacją

Po prostu fragmentuj pakiety i wysyłaj je. Jeśli IDS/IPS nie ma możliwości ich ponownego złożenia, dotrą do ostatecznego hosta.

Opcja Nmap: -f

Nieprawidłowa suma kontrolna

Czujniki zwykle nie obliczają sumy kontrolnej ze względów wydajnościowych. Dlatego atakujący może wysłać pakiet, który zostanie zinterpretowany przez czujnik, ale odrzucony przez ostatecznego hosta. Przykład:

Wyślij pakiet z flagą RST i nieprawidłową sumą kontrolną, aby IPS/IDS mógł pomyśleć, że ten pakiet zamknie połączenie, podczas gdy ostateczny host odrzuci pakiet ze względu na nieprawidłową sumę kontrolną.

Niezwykłe opcje IP i TCP

Czujnik może zignorować pakiety z określonymi flagami i opcjami ustawionymi w nagłówkach IP i TCP, podczas gdy docelowy host akceptuje pakiet po jego otrzymaniu.

Nakładanie się

Może się zdarzyć, że podczas fragmentacji pakietu występuje pewien rodzaj nakładania się między pakietami (może pierwsze 8 bajtów pakietu 2 nakłada się na ostatnie 8 bajtów pakietu 1, a ostatnie 8 bajtów pakietu 2 nakłada się na pierwsze 8 bajtów pakietu 3). Jeśli IDS/IPS złoży je w inny sposób niż ostateczny host, zostanie zinterpretowany inny pakiet.
Albo może się zdarzyć, że przychodzą 2 pakiety o tym samym przesunięciu i host musi zdecydować, który z nich przyjąć.

• BSD: Preferuje pakiety o mniejszym przesunięciu. Dla pakietów o tym samym przesunięciu wybierze pierwszy.
• Linux: Podobnie jak BSD, ale preferuje ostatni pakiet o tym samym przesunięciu.
• First (Windows): Pierwsza wartość, która przychodzi, zostaje.
• Last (cisco): Ostatnia wartość, która przychodzi, zostaje.

Narzędzia

• https://github.com/vecna/sniffjoke

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia dla HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.