TTL 操作

发送一些 TTL 足够到达 IDS/IPS 但不足以到达最终系统的数据包。然后，发送另一组与之前相同序列的数据包，以便 IPS/IDS 会认为它们是重复的而不会检查，但实际上它们携带了恶意内容。

Nmap 选项: --ttlvalue <value>

避免签名

只需向数据包中添加垃圾数据，以避免 IPS/IDS 签名。

Nmap 选项: --data-length 25

分片数据包

只需将数据包分片并发送。如果 IDS/IPS 没有重组它们的能力，它们将到达最终主机。

Nmap 选项: -f

无效 校验和

传感器通常出于性能原因不计算校验和。因此，攻击者可以发送一个数据包，该数据包将被 传感器解释但被最终主机拒绝。 示例：

发送一个带有 RST 标志和无效校验和的数据包，因此，IPS/IDS 可能认为该数据包将关闭连接，但最终主机将丢弃该数据包，因为校验和无效。

不常见的 IP 和 TCP 选项

传感器可能会忽略某些标志和选项设置在 IP 和 TCP 头中的数据包，而目标主机在接收时接受该数据包。

重叠

当你分片一个数据包时，可能会存在某种重叠（也许数据包 2 的前 8 字节与数据包 1 的最后 8 字节重叠，数据包 2 的最后 8 字节与数据包 3 的前 8 字节重叠）。然后，如果 IDS/IPS 以不同于最终主机的方式重组它们，将会解释为不同的数据包。
或者，也许，两个具有相同偏移量的数据包到达，主机必须决定选择哪个。

• BSD: 优先选择偏移量较小的数据包。对于具有相同偏移量的数据包，将选择第一个。
• Linux: 像 BSD，但它更喜欢具有相同偏移量的最后一个数据包。
• First (Windows): 第一个到达的值，保持该值。
• Last (cisco): 最后到达的值，保持该值。

工具

• https://github.com/vecna/sniffjoke