TTL Manipülasyonu

IDS/IPS'e ulaşacak kadar TTL değeri olan bazı paketler gönderin, ancak son sisteme ulaşacak kadar değil. Ardından, diğerleriyle aynı dizilere sahip başka paketler gönderin, böylece IPS/IDS bunların tekrar olduğunu düşünecek ve kontrol etmeyecek, ancak aslında kötü niyetli içeriği taşıyorlar.

Nmap seçeneği: --ttlvalue <value>

İmza Kaçınma

Paketlere gereksiz veri ekleyin, böylece IPS/IDS imzası atlanmış olur.

Nmap seçeneği: --data-length 25

Parçalanmış Paketler

Paketleri parçalayın ve gönderin. Eğer IDS/IPS bunları yeniden birleştirme yeteneğine sahip değilse, son hosta ulaşacaklardır.

Nmap seçeneği: -f

Geçersiz checksum

Sensörler genellikle performans nedenleriyle checksum hesaplamaz. Bu nedenle, bir saldırgan sensör tarafından yorumlanacak ancak son host tarafından reddedilecek bir paket gönderebilir. Örnek:

RST bayrağı ve geçersiz bir checksum ile bir paket gönderin, böylece IPS/IDS bu paketin bağlantıyı kapatacağını düşünebilir, ancak son host paketi geçersiz checksum nedeniyle reddedecektir.

Alışılmadık IP ve TCP seçenekleri

Bir sensör, IP ve TCP başlıklarında belirli bayraklar ve seçenekler ayarlandığında paketleri göz ardı edebilir, oysa hedef host paketi aldığında kabul eder.

Çakışma

Bir paketi parçaladığınızda, paketler arasında bir tür çakışma olabileceği mümkündür (belki paket 2'nin ilk 8 baytı paket 1'in son 8 baytıyla çakışıyor ve paket 2'nin son 8 baytı paket 3'ün ilk 8 baytıyla çakışıyor). Ardından, IDS/IPS bunları son hosttan farklı bir şekilde yeniden birleştirirse, farklı bir paket yorumlanacaktır.
Ya da belki, aynı ofset ile 2 paket gelir ve host hangisini alacağına karar vermek zorundadır.

• BSD: Daha küçük ofset değerine sahip paketlere öncelik verir. Aynı ofsete sahip paketler için, ilk olanı seçecektir.
• Linux: BSD gibi, ancak aynı ofsete sahip son paketi tercih eder.
• İlk (Windows): Gelen ilk değer, kalan değerdir.
• Son (cisco): Gelen son değer, kalan değerdir.

Araçlar

• https://github.com/vecna/sniffjoke