TTL操作

IDS/IPSに到達するのに十分なTTLを持つパケットを送信しますが、最終システムには到達しないようにします。そして、他のパケットと同じシーケンスの別のパケットを送信することで、IPS/IDSはそれらを繰り返しと見なし、チェックしないでしょうが、実際には悪意のあるコンテンツを含んでいます。

Nmapオプション: --ttlvalue <value>

シグネチャの回避

パケットにゴミデータを追加するだけで、IPS/IDSのシグネチャを回避します。

Nmapオプション: --data-length 25

断片化されたパケット

パケットを断片化して送信するだけです。IDS/IPSがそれらを再構成する能力を持っていなければ、最終ホストに到達します。

Nmapオプション: -f

無効な チェックサム

センサーは通常、パフォーマンスの理由からチェックサムを計算しません。したがって、攻撃者はセンサーによって解釈されるが、最終ホストによって拒否されるパケットを送信できます。例：

RSTフラグと無効なチェックサムを持つパケットを送信すると、IPS/IDSはこのパケットが接続を閉じると考えるかもしれませんが、最終ホストはチェックサムが無効であるため、パケットを破棄します。

珍しいIPおよびTCPオプション

センサーは、IPおよびTCPヘッダー内に特定のフラグやオプションが設定されたパケットを無視する可能性がありますが、宛先ホストは受信時にパケットを受け入れます。

重複

パケットを断片化すると、パケット間に何らかの重複が存在する可能性があります（例えば、パケット2の最初の8バイトがパケット1の最後の8バイトと重複し、パケット2の最後の8バイトがパケット3の最初の8バイトと重複する）。その場合、IDS/IPSが最終ホストとは異なる方法でそれらを再構成すると、異なるパケットが解釈されます。
または、同じオフセットを持つ2つのパケットが到着し、ホストはどちらを取るか決定しなければなりません。

• BSD: 小さい_オフセット_を持つパケットを優先します。同じオフセットのパケットの場合、最初のものを選択します。
• Linux: BSDと同様ですが、同じオフセットの最後のパケットを優先します。
• 最初 (Windows): 最初に来た値が残ります。
• 最後 (cisco): 最後に来た値が残ります。

ツール

• https://github.com/vecna/sniffjoke