Mit tehet a szolgáltató?

Az IRC-t egyre többen használják jelszavak, hozzáférések megszerzésére,
illetve egyre több támadás ér olyan gépeket, amikről valaki irc-zni próbál.

A támadásoknak, próbálkozásoknak, visszaéléseknek több formája létezik, 
ezekből próbálunk felsorolni néhányat a teljesség igénye és reménye nélkül:


Open proxy-k:

Ha valaki nem szeretné, ha kiderülne, eredetileg honnan irc-el, megpróbál
más gépeken levő proxy-kon keresztül kapcsolódni. Ennek egyik módja, ha van
valahol egy - többnyire jelszóval védett - proxy, aminek a gazdája
megengedte, hogy az illető az ő gépén keresztül kapcsolódjon. Ilyenkor fenn
áll a veszélye, hogy egyes helyeken a proxy-t tiltják ki, vagy a proxy
gazdáját vonják felelősségre, ha a gépén keresztül valami szabályokba
ütközőt követnek el. Mivel ilyenkor a proxy használója is kitiltásra kerül,
sokan, ahelyett, hogy ilyen hozzáférést kérnének valakitől, megpróbálnak
nyitvahagyott, jelszó nélküli proxykat keresni. Ezek gazdáinak legtöbbször
fogalmuk sincs, hogy a gépükön ilyen szolgáltatás fut, így fel sem fedezik,
hogy valaki az ő címükkel takarózik.
A keresés többnyire úgy történik, hogy egy-egy címtartományt végignéznek,
vagy az irc-n valamelyik csatornára belépő emberek host-ját megnézik, hogy
az alapértelmezett socks port (1080) nyitva van-e. Több ircszerver épp ezért
ellenőrzi a kapcsolódó kliensek 1080-as portját, és amennyiben az nyitva van
(és proxyként üzemel), a kliens-t nem engedi belépni.
A szolgáltató, ha szeretné a felhasználóit (és a saját jóhírét) megvédeni
attól, hogy valaki az ő gépeiket használja álcának, ki tudja tiltani a
hálózatába érkező, a 1080-as portra menő kapcsolatok kezdeményezését.
(Lényeges, hogy csak a kezdeményezést, a 1080 ugyanis lehet kliensport is,
sőt, egy gép bekapcsolás után nagy valószínűséggel használni is fogja ezt a
portot)
Természetesen itt is kell kivételeket tenni, példaul a 20-as portról érkező
kapcsolatok esetén, hiszen ez az ftp-data port, amin az ftp szerverek
nyitnak a kliens felé adatkapcsolatot, ahol a kliensport szintén lehet 1080.
Szintén problémát okozhat, ha az 1080-as port valamilyen szolgáltatásnak
része (pl.: otpbank)


Trójai programok:

Elterjedt módszer, hogy akár irc-n DCC-n keresztül, akár más módon olyan
programokat terjesztenek, amik elindítás után a rendszeren valamilyen
kiskaput nyitnak, amivel lehetővé válik, hogy a rendszerről adatokat
lehessen letölteni, sőt, sok esetben a billentyűzet leütéseit is figyelemmel
lehet kisérni. A hordozó programok a legtöbb esetben nem indulnak ("Nem
megy? Érdekes, nálam ment... Jaaa, hogy neked nem 3.1-esed van?" Ismeros
szöveg?), bár van, hogy a gyanú elkerülése érdekében még működnek is.  
Ezek a programok többféle TCP ill. UDP porton figyelnek, és nem kell hozzá
nagy tudás, hogy valaki a portot átírja, sokszor ez lépésről lépésre le van
írva a programhoz. Az ilyen esetek ellen az egyetlen védekezés, ha a
rendszerbe csak az ismert funkciójú portok forgalmát engedjük be, ami
béreltvonalas, ill. dialup szolgáltatás esetén szinte lehetetlen. Viszont
sokat segíthet a felhasználók tájékoztatása.
Ami ellen viszont lehet védekezni, az az, hogy valaki az ismert trójai
portok után kutatva végignézze a hálózatunkat, vagy épp fordítva, valamelyik
felhasználó tegye ugyanezt más hálózatokkal. A védekezés módja hasonló az
open proxyknál leírtakhoz, csak más portokról van szó. A védekezést
nehezíti, ha ezek a programok UDP csomagokat használnak, mert az UDP
protokollban nem tudjuk megkülönböztetni a kapcsolatot kezdeményező
csomagokat, azaz nem tudjuk megállapítani egyértelműen, hogy
kliensforgalomról, vagy kívülről kezdeményezett támadásról van szó.
Ilyenkor legalabb utólagos megoldás lehet a logolás, ha van, akinek van
ideje, vagy scriptje ezeket végignézni, kielemezni.
TCP forgalom esetén viszont (esetleg UDP-n, az előbb leírtak
figyelembevételével) azok a portok, amiket szűrni érdemes:

12345 (NetBus)
31337 (Elite, BackOrifice, BO)
20034 (NetBus v2)
1243 (Sub Seven)

(A lista nem teljes, állandóan bővül, válozik, az ezzel kapcsolatos
információkat örömmel látjuk, amennyiben valaki segíteni tud)
A portok összegyűjtése kozben bukkantam rá egy gyűjteményre a

Helyi másolat

Mirkforce:

Eddig kizárólag linux gépekre ismert program. Általában a szerverek
feltörésével teszik fel egy gépre, de felkerülhet trójai programként is.
A módszer abból áll, hogy a program (root jogokkal) az adott hálózat C
osztályú tartományából a nem használt IP-címeket másodlagos címekként
használva több klón-nal csatlakozik egy-egy IRC-szerverhez. Ezekkel a
klónokkal vagy védenek egy-egy csatornát, vagy flood-olnak, vagy más
módon használják fel őket. A lényeg, hogy az IP-címek általában nem valós
címek, hiszen csak erre az időre használják őket, vagy egy-egy ártatlan, de
epp kikapcsolt gép címei. Mivel a megtört gép saját IP-jét általában nem
használják, a felfedezésük is nehéz utólag. A helyi hálózaton valamilyen ARP
figyeléssel, vagy a nem használt IP-címet aktivitását figyelve (és az MAC
címét logolva) lehet az ilyen programokat fölfedezni. Megfelelő passzív
védelem lehet az is, ha a routeren/tűzfalon csak a hasznalt ipcímek vannak
átengedve, bár ez gyakran változó hálózatcímek esetén rengeteg
adminisztrációval járhat.

Vonatkozó linkek:

Gépek, modemek, programok "kilövése":

Divatos erőfitogtató módszer. A célja az, hogy valakinek megszakítsák a
netkapcsolatát, megfagyasszák a gépét, egyfajta bosszúként, vagy
kísérletként a felsőbbrendűség bizonygatására. Illetve gyakori indíték még
az irc-n, esetleg más chat-eken egyes csatornák fölötti uralom megszerzése a
másik gépének kilövésével. Ezeknel a módszereknél tobbnyire hibákat, vagy
eredetileg más célt szolgáló lehetőségeket használnak ki. Ezek több csoporba
oszthatók:

- A sávszélesség telítése
A módszer egyszerű: Akkora fölösleges forgalmat generál a támadó, ami
teleteszi az áldozat vonalát, lehetetlenné téve a hasznos adatforgalmat.

- Különböző szolgáltatások túlterhelése (DoS, Denial of Service)

- Kapcsolat bontása (A lassan már klasszikus ATH0 módszer)

- A rendszer megállitása ("lefagyasztása")
Itt általában sebezhető portokat támadnak speciálisan formázott csomagokkal.