|
|
- Il vero problema su irc è che il proprio ip è
ben visibile a tutti.
Effettuando un semplice /whois nick appaiono sullo status le informazioni relative all'user, ad esempio:
***format is T34M@server.com
***format on @#sthg
***format using irc.tin.it
Nella prima riga è ben visibile l'host con cui format si sta connettendo all'IRCSERVER --> server.com
E' quindi facile girando per i canali che il nostro indirizzo venga preso di mira dagli altri frequentatori. Infatti è semplice effettuare un nslookup di "server.com" o attraverso il comando del mIRC "/dns nick" per ricavare lo stesso IP:
- *** Looking up format
*** Resolved server.com to 12.34.56.78
Ecco allora il motivo per cui su IRC non si può star tranquilli come quando navighiamo sul web...soprattutto se siamo operatori (@) in quel momento nel canale
è facile subire attacchi alla nostra macchina.
Gli attacchi D.o.S più frequenti su IRC sono:
- bonk
- land
- teardrop
- click
- ssping
- WinNuke
- ICMP Flood
- smurf
- ping pattern
- SYN flood
- Bloop (flushot)
- Igmp (pimp/kod)
Alcuni di questi non sono più usati, perché bastano pochi accorgimenti per non essere più affetti.
- BONK
Sono affetti dal BONK sistemi WIN95/NT.
Il bonk ha come sintomo il blue Screen.
Il bonk può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio win95 con le winsock2.2- LAND
Sono affetti dal LAND sistemi win31/95/NT etc.
Il land ha come sintomo il blocco completo del PC.
Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione ad una porta causando il blocco del sistema.
Il land può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio win95 con le winsock2.2- TEARDROP
Sono affetti dal TEARDROP sistemi win 3.1/95/NT, Linux precedenti a 2.0.32 o 2.1.63.
Il teardrop ha come sintomi il blocco/riavvio immediato del sistema.
Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP va in crash tentando di riassemblarlo.
Il land può essere generato solo da macchine *nix e win95 non è ancor del tutto immune nonostante la possibilità di aggiornarsi al winsock2.2 per la presenza di attacchi con delle caratteristiche differenti dal teardrop originario.- CLICK
Sono affetti dal click tutti i sistemi Windows(31/95/98/NT), Linux è invece immune.
Click o meglio ICMP_DESTINAZIONE_IRRAGGIUNGIBILE ha come sintomo la disconnessione
dal server IRC con il classico messaggio di uscita:- *** format has quit irc (Connection reset by peere de cocain)
- Non tutti sanno che questo attacco può
essere inviato non solo contro le connessioni IRC, ma anche contro
qualsiasi connessione TCP (i massaggi di errore del browser per
esempio "la connessione è stata reimpostata").
Il Click può essere generato sia da sistemi Windows (famoso appunto il codice di Rhad del click2.2) che da macchine *nix e per difendersi bisogna filtrare ICMP usando un firewall. Si consiglia comunque contro il click il connettersi a porte fuori range del server IRC (5667 per irc.tin.it). - SSPING - Ping
of death
- Sono affetti dallo ssping i sistemi
Windows 95, NT etc.
Lo ssping ha come sintomo il blocco totale del sistema, che richiede un reset hardware (CTRL-ALT-CANC non funziona).
Lo ssping può essere generato solo da macchine *nix e per prevenirlo basta aggiornare il proprio sistema con il Winsock 2.2 (o per utenti LINUX aggiornare il kernel). - ICMP flood
- Sono affette tutte le connessioni
modem.
Il modem comincia a ricevere troppi dati e tutte le applicazioni internet diventano lente. In questo modo è possibile una disconnessione dal server IRC ed una uscita per Ping timeout.
L'ICMP flood può essere generato indistintamente da macchine Windows o *nix (ping -f) e questo attacco dipende dalla bassa velocità di connessione ad internet.
L'uso di firewall non ha effetto. - Smurf
- Sono affette tutte le connessioni ed
interi server IRC.
Lo "smurf" utilizza la tecnica dell'IP spoofing. Invia richieste PING con l'IP della vittima ad un elenco di IP detto "BROADCAST" (questi IP terminano con 255 o 0 e vengono trovati con un "broadscan" per Linux).
La vittima riceve le risposte a tutti i PING che creano flood. - Interi IRC server possono subire questo
attacco ed in questi casi si crea lo split
del server dal resto della rete, con la perdita di tutte le connessioni.
L'uso di firewall non ha nessun effetto.
Questo attacco può essere generato solo da macchine *nix con privilegi da 'root' anche se esiste un programma per win (exploit generator) capace di inviare questo particolare D.o.S. - Ping Pattern
- Sono affetti almeno il 60% dei modem
(esclusi gli US ROBOTICS).
Consiste nell'inviare al modem della vittima attraverso PING o anche TCP il comando ATH0+++ (disconnessione). Il modem alla risposta si disconnette.
Un firewall ben impostato risolve il problema o anche basta impostare ATS2=255 fra le inizializzazioni - Avvio-> Impostazioni-> Pannello di controllo-> Modem-> Proprietà modem-> Connessione-> Avanzate-> Altre impostazioni : inserire S2=255
- SYN flood
- Tutti i sistemi operativi.
Il suo uso principale è bloccare servizi come Telnet o FTP.
In pratica un SYN flood stabilisce molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione, essa viene chiusa immediatamente e ne viene aperta un'altra.
Applicazioni in IRC sono nell'attacco di porte generalmente "monitorate" ad esempio 12345 oppure 139.
In questo modo è facile che il programma monitor vada in crash con il pericolo di un crash di sistema.
La soluzione è evitare in ogni modo di tenere anche solo per monitoraggio porte aperte. - Bloop (flushot)
- Sono affetti i sistemi Win95/98 NT.
Invia pacchetti ICMP spoofati casualmente provocando il blocco del sistema.
Questo attacco può essere generato sola da macchine *nix e l'unico rimedio sta nell'attivare un firewall software per filtrare gli ICMP. - IGMP
- Consiste in un flood di pacchetti igmp
e windows (95/NT/98) non riesce a gestire
al meglio questo protocollo. Il risultato è il blue screen con necessità di riavvio del sistema.
L'attacco può essere generato solo da macchine *nix.
Il D.o.S è relativamente recente (aprile 99), un firewall ben configurato mette al sicuro la macchina da questo tipo di attacco. - Soluzioni:
- LINUX
Le ultime versioni del kernel sono ancora esenti da particolari D.o.S (effettivamente esiste un d.o.s per il 2.2.x ma sarà presto risolto) Per Linux il vero problema è la configurazione dei singoli servizi.
Cmq mi pare essenziale per un uso non da SERVER effettuare questa configurazione:
/etc/securetty
Commentare tutte le linee aggiungendo come primo carattere # differenti da
#/etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
In questo modo sarà impossibile collegarsi da root da connessioni seriali e parallele.
Inoltre per impedire a chiunque di far un uso remoto dei servizi e quindi renderli disponibili solo da locale editare in questo modo:
/etc/hosts.allow
#/etc/hosts.allow
ALL: LOCAL:
e:
/etc/hosts.deny
#/etc/hosts.deny
ALL: ALL
Ancora andare nel file /etc/inetd.conf e commentare i servizi che non vogliamo eseguire.
Es:sendmail..telnet..imap..
- Windows95
In questo caso prima di tutto bisogna aggiornarsi alle winsock2.2 Installando in questo ordine i seguenti files: (ricordarsi di rebootare dopo aver installato ciascun pacchetto):
MS Winsock Update (wsockupd.exe)
the MS DUN 1.3 Upgrade (msdun13.exe)
Winsock 2.2 Upgrade (ws2setup.exe)
(cercatele con google.it)
Installando un firewall si riesce inoltre a prevenire anche attacchi tipo click e ping pattern ed IGMP mentre nulla si può fare contro attacchi di flood icmp e smurf.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Difendiamoci: Se avete letto bene questi sono i possibili attacchi che più frequentemente potete subire mentre navigate su IRC. |
|
|
|
Windows98 |