TTL Manipulacija

Pošaljite neke pakete sa TTL-om dovoljno visokim da stignu do IDS/IPS-a, ali ne dovoljno da stignu do konačnog sistema. Zatim, pošaljite još neke pakete sa istim sekvencama kao prethodni, tako da će IPS/IDS pomisliti da su to ponavljanja i neće ih proveravati, ali zapravo nose zlonamerni sadržaj.

Nmap opcija: --ttlvalue <value>

Izbegavanje potpisa

Jednostavno dodajte bespotrebne podatke u pakete kako bi se izbegao potpis IPS/IDS-a.

Nmap opcija: --data-length 25

Fragmentirani Paketi

Jednostavno fragmentirajte pakete i pošaljite ih. Ako IDS/IPS nema mogućnost da ih ponovo sastavi, stići će do konačnog hosta.

Nmap opcija: -f

Nevažeći checksum

Senzori obično ne računaju checksum iz razloga performansi. Tako da napadač može poslati paket koji će biti interpretiran od strane senzora, ali odbijen od strane konačnog hosta. Primer:

Pošaljite paket sa RST flagom i nevažećim checksum-om, tako da će IPS/IDS možda pomisliti da ovaj paket zatvara vezu, ali konačni host će odbaciti paket jer je checksum nevažeći.

Neobični IP i TCP opcije

Senzor može zanemariti pakete sa određenim flagovima i opcijama postavljenim unutar IP i TCP zaglavlja, dok konačni host prihvata paket po prijemu.

Preklapanje

Moguće je da kada fragmentirate paket, postoji neka vrsta preklapanja između paketa (možda prvih 8 bajtova paketa 2 preklapa poslednjih 8 bajtova paketa 1, i poslednjih 8 bajtova paketa 2 preklapa prvih 8 bajtova paketa 3). Tada, ako IDS/IPS ponovo sastavi pakete na drugačiji način od konačnog hosta, biće interpretiran drugačiji paket.
Ili možda, 2 paketa sa istim pomakom dolaze i host mora odlučiti koji će uzeti.

• BSD: Ima prednost za pakete sa manjim pomakom. Za pakete sa istim pomakom, izabira prvi.
• Linux: Kao BSD, ali preferira poslednji paket sa istim pomakom.
• Prvi (Windows): Prva vrednost koja dođe, vrednost koja ostaje.
• Poslednji (cisco): Poslednja vrednost koja dođe, vrednost koja ostaje.

Alati

• https://github.com/vecna/sniffjoke