TTL हेरफेर

कुछ पैकेट्स भेजें जिनका TTL इतना हो कि वे IDS/IPS तक पहुँच जाएँ लेकिन अंतिम सिस्टम तक न पहुँचें। और फिर, उसी क्रम के साथ अन्य पैकेट्स भेजें ताकि IPS/IDS सोचें कि वे पुनरावृत्तियाँ हैं और उन्हें जांचें नहीं, लेकिन वास्तव में वे दुर्भावनापूर्ण सामग्री ले जा रहे हैं।

Nmap विकल्प: --ttlvalue <value>

हस्ताक्षर से बचना

पैकेट्स में बस बकवास डेटा जोड़ें ताकि IPS/IDS हस्ताक्षर से बचा जा सके।

Nmap विकल्प: --data-length 25

खंडित पैकेट्स

बस पैकेट्स को खंडित करें और उन्हें भेजें। यदि IDS/IPS उन्हें फिर से जोड़ने की क्षमता नहीं रखता है, तो वे अंतिम होस्ट तक पहुँचेंगे।

Nmap विकल्प: -f

अमान्य चेकसम

सेंसर आमतौर पर प्रदर्शन कारणों से चेकसम की गणना नहीं करते। इसलिए एक हमलावर एक पैकेट भेज सकता है जिसे सेंसर द्वारा व्याख्यायित किया जाएगा लेकिन अंतिम होस्ट द्वारा अस्वीकृत किया जाएगा। उदाहरण:

RST ध्वज के साथ एक पैकेट भेजें और एक अमान्य चेकसम, तो फिर, IPS/IDS सोच सकता है कि यह पैकेट कनेक्शन को बंद करने जा रहा है, लेकिन अंतिम होस्ट पैकेट को अस्वीकार कर देगा क्योंकि चेकसम अमान्य है।

असामान्य IP और TCP विकल्प

एक सेंसर कुछ ध्वज और विकल्पों के साथ सेट पैकेट्स को नजरअंदाज कर सकता है, जबकि गंतव्य होस्ट प्राप्ति पर पैकेट को स्वीकार करता है।

ओवरलैपिंग

यह संभव है कि जब आप एक पैकेट को खंडित करते हैं, तो पैकेट्स के बीच कुछ प्रकार का ओवरलैपिंग हो (शायद पैकेट 2 के पहले 8 बाइट्स पैकेट 1 के अंतिम 8 बाइट्स के साथ ओवरलैप करते हैं, और पैकेट 2 के अंतिम 8 बाइट्स पैकेट 3 के पहले 8 बाइट्स के साथ ओवरलैप करते हैं)। फिर, यदि IDS/IPS उन्हें अंतिम होस्ट से अलग तरीके से फिर से जोड़ता है, तो एक अलग पैकेट की व्याख्या की जाएगी।
या शायद, 2 पैकेट्स एक ही ऑफसेट के साथ आते हैं और होस्ट को तय करना होता है कि वह कौन सा ले।

• BSD: छोटे ऑफसेट वाले पैकेट्स को प्राथमिकता देता है। समान ऑफसेट वाले पैकेट्स के लिए, यह पहले वाले को चुनेगा।
• Linux: BSD की तरह, लेकिन यह समान ऑफसेट वाले अंतिम पैकेट को प्राथमिकता देता है।
• पहला (Windows): पहला मान जो आता है, वही मान रहता है।
• अंतिम (cisco): अंतिम मान जो आता है, वही मान रहता है।

उपकरण

• https://github.com/vecna/sniffjoke