IDS-IPS

Contournement des IDS

Quelques techniques

Déni de service contre un IDS

Un pirate pourra essayer d'effectuer un DoS sur l'IDS pour qu'il ne puisse plus remplir pleinement son rôle.

Attaque par insertion

Il s'agit là de l'ajout de paquets superflus
Ex : fragmentation IP et recouvrement de fragments (modification des champs « longueur » et « décalage »).
Ex : Exploiter le Timeout pour le réassemblage (~60s sur machines, <60s sur IDS)

Attaque par évasion

Cette technique a pour but de ne pas faire détecter un paquet par l’IDS.
Ex : modification des chaînes de caractères :
GET /etc/rc.d/../././././/.//./passwd

ou
GET %65%74%63/%70%61%73%73%77%64 (codage en hexadécimal)
URL longues, Remplacer espaces par tabulations, ‘/’ par ‘\’ etc.

Shellcode

Il s'agit là d'une technique permetta de faire du débordement de la pile. En général, un pirate utilisera plusieurs instructions assembleur NOP pour pouvoir atteindre des zones mémoires. Il pourra alors remplacer les instructions NOP par d'autres instructions n'altérant pas le fonctionnement de son programme, et qui ne seront pas détectées.