maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/generic-methodologies-and-resources/pentesting-network/ids-evasion.md

48 lines
2.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

{{#include ../../banners/hacktricks-training.md}}
# **TTL Manipülasyonu**
IDS/IPS'e ulaşacak kadar TTL değeri olan bazı paketler gönderin, ancak son sisteme ulaşacak kadar değil. Ardından, diğerleriyle aynı dizilere sahip başka paketler gönderin, böylece IPS/IDS bunların tekrar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü niyetli içeriği taşıyorlar.
**Nmap seçeneği:** `--ttlvalue <value>`
# İmza Kaçınma
Paketlere gereksiz veri ekleyin, böylece IPS/IDS imzası atlanmış olur.
**Nmap seçeneği:** `--data-length 25`
# **Parçalanmış Paketler**
Paketleri parçalayın ve gönderin. Eğer IDS/IPS bunları yeniden birleştirme yeteneğine sahip değilse, son hosta ulaşacaklardır.
**Nmap seçeneği:** `-f`
# **Geçersiz** _**checksum**_
Sensörler genellikle performans nedenleriyle checksum hesaplamaz. Bu nedenle, bir saldırgan sensör tarafından **yorumlanacak ancak son host tarafından reddedilecek** bir paket gönderebilir. Örnek:
RST bayrağı ve geçersiz bir checksum ile bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatacağını düşünebilir, ancak son host paketi geçersiz checksum nedeniyle reddedecektir.
# **Alışılmadık IP ve TCP seçenekleri**
Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçenekler ayarlandığında paketleri göz ardı edebilir, oysa hedef host paketi aldığında kabul eder.
# **Çakışma**
Bir paketi parçaladığınızda, paketler arasında bir tür çakışma olabileceği mümkündür (belki paket 2'nin ilk 8 baytı paket 1'in son 8 baytıyla çakışıyor ve paket 2'nin son 8 baytı paket 3'ün ilk 8 baytıyla çakışıyor). Ardından, IDS/IPS bunları son hosttan farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanacaktır.\
Ya da belki, aynı ofset ile 2 paket gelir ve host hangisini alacağına karar vermek zorundadır.
- **BSD**: Daha küçük _ofset_ değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için, ilk olanı seçecektir.
- **Linux**: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.
- **İlk** (Windows): Gelen ilk değer, kalan değerdir.
- **Son** (cisco): Gelen son değer, kalan değerdir.
# Araçlar
- [https://github.com/vecna/sniffjoke](https://github.com/vecna/sniffjoke)
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink