Bypass IDS
Il sito breakingpointsystems.com lancia l'allarme e dice : "il three way handshake è una bugia!"
Link:
http://www.breakingpointsystems.com/community/blog/tcp-portals-the-three...
esiste quindi un modo per aggirare gli ids falsando la base della comunicazione il three way handshake.
Snort risponde aggiungendo allo stream 5 : require_3whs
esempio vulnerabile :
preprocessor stream5_tcp: policy first, use_static_footprint_sizes
esempio non vulnerabile :
preprocessor stream5_tcp: policy first, use_static_footprint_sizes, require_3whs
Stay Tuned!