 |
 |
 |
 |
||
 |
||
 |
 |
 |
 |
 |
||
 |
||
 |
||
 |
||
 |
|||||||
 |
 |
|
|||||
|
THESE
PAGES ARE FREE OF
|
|||||||
|
|||||||
 |
 |
 |
|
|||
|
SPACEHAWKS
WORLDNEWS ISSUE 18 Üdv mindenkinek Van
itt egy srác az ircen, Emeric nickre hallgat. (Nem ismerem, de majd
megkeresem-Emeric SH) Egyik nap nyílt az chatwindow, és megkérdezte,
hogy nincs e kedvem írni egy cikket, minek vmi ilyesmi címe lenne (bocs
Eme.. hja a memóriám): deltree
windows most nézzük a másik esetet ha véletlenül egy másik gépünk van, más oprencerrel... A neten IRC-ezés közben szokott legtöbbször jönni a támadás, hiszen csak akkor veszik észre, hogy létezünk. Namost a támadásnak kétféle módja lehet. Az egyik, ha az irces kapcsolatunkat támadják, a másik, ha közvetlenül a modemes kapcsolatunkat próbálják szétszedni. Itt lenne még a 3. amikor a gépet kívánnák lefagyasztani.. csak ez nem PC, nem win$ és emiatt nincsennek se beépített bugok, se semmi ilyesmi... Akkor kezdjük az IRC-ssel. A védekezéssel itt nem lesz nehéz dolgunk... mert , ahogy eddig figyeltem, az AmIRC Kuang 11 scriptje kiváló védelmet nyújt szinte bármiféle támadással szemben. IRC-ről a legegyszerűbb módom az úgynevezett FLOOD-olással szoktak támadni. Hogy mit is jelent ez tulajdonképpen: hát azt, hogy megpróbálnak nekünk annyi adatot küldeni, amit az IRC server és a gép közötti kapcsolat nem bír el. Minél több adat jön, annál nagyobb a leterheltségünk, és az IRC server nem fog biztosítani nekünk 56k-s sávszélességet, hogy leszedhessük a számunkra érkezett adatokat. Épp ezért, mikor már nem tudunk annyit leszedni, mint a rosszakaró feltesz, akkor szépen az IRC server megválik tőlünk. Ilyenkor szokott a kilépésnél "Excess flood" felírat virítani. Különféle floodok vannak, megpróbálom felsorolni az összeset: PING, VERSION, FINGER flood - ez a legegyszerűbb, küld az IRC serveren keresztűl egy pinget az illető, és mi válaszolunk rá.. namost a mi válaszunk sokkal nagyobb csomag, mint az ő küldése, emiatt megint terheljük saját magunk a adatcsatornánkat. Ez a közkedveltebb.. PRIVMSG flood hát, itt jön a favágó módszer, a srác nekünkesik, és egy scriptel elkezdi tolni az értelmetlen karakterek halmazát, hátha túlterhel WIN flood nahh. ezt elméletileg szerény személyem találta ki... ez ellen nem véd a Kuang 11-es script, sőt pc-n sem igazán tudok olyat, ami megfogja. A lényege, hogy elkezd eszeveszetten query ablakokat nyitogatni a másik félnél... Amigán azért megáll álltalában 20 nál. Hogy miért pont ennyinél? mert az AmIRC-es bátyók beleépítettek egy olyan funkciót, hogy MAX QUERY WINDOWS és itt általában 20 van. Ez elég is szokott lenni, egy általános irceléshez. (3 éve ircelek, 10 nél több sohasem volt nyitva) Jójó, ez mind szép és jó, de felmerül mindenkiben a kérdés, én is egy IRCES vonalon, ő is egy irces vonalon, miért nem terhelődik túl ugyanúgy a támadó is... hát, most jön a válasz.. mert a támadó scriptje (pl a közismert Shit Down Pro) úgynevezett klónokat hoz fel. A klón annyit tesz, hogy ugyanarról a gépről vezérelt másik irc-s csatlakozás. néha látjuk is, hogy CLONE DETECTED blablabla. Ez csak annyit jelent, hogy azonos host-ról van két ember ( nick ! id @ host ). Ez lehet azért mert: 1 egy
gépról ircelnek Namost.. a mi kis támadó barátunk fogja magát,és felhoz kb 5-6 klónt, és ezzel kezd el minket pingelni. Ez már azért elég szép adag, és az 5-6x támadás+mi visszaüzengetünk, az szépen leterhelNÉ a vonalat. Viszont ilyenkor lép akcióba az u.n. FLOOD Protection.. ezt néha látjuk is. ilyenkor az illetőt IGNORE listára teszi, ezt nevezhetjük úgy is, mint egy csomagszűrési lista. Erről a listáról pár perc múlva lekapja, mikor elült a vihar. 3 fajta
csomagszűrés létezik (ami ha jól számoltam négy
- Emeric SH): Az IGNORE listára is többféleképp lehet bevinni embereket, lássuk hogyan is: Ő a páciensünk: nick: WinJani id&host: pcuser@Dial090-01.externet.hu. Tehetjük a nevét listára, vagy az id-jét, vagy a hostját. Hát, amit nemigazán tud váltogatni, az a host. Szóval, ha /IGNORE *!*@Dial090-01.externet.hu +ALL -t adunk ki, akkor amíg le nem vesszük a srác nem sok mindenre lesz képes holmi irces támadásokkal. Csak a nickjét látjuk a csatilistában, ha fennvan, de semmilyen üzenetet nem kaphatunk tőle.. Azért ez néha zavaró, mert ha a csatin lehülyézik, azt sem vesszük észre. A Flood
Protection a következőt csinálja: Most
mi leszünk a kis gonosz, és a gonosz PC usereket fogjuk lekaparni az
IRC serverről.. Bár sajnos nem mindig hajlandóak leszállni. PC-n rengeteg
védelmi script van, nemúgy, mint amigára, de ott a fele hibás is...
bár az utóbbi időben kezdik elérni a K11 szintjét. Mi sem tudunk mást
csinálni mint ők, PING flood, PRIVMSG flood, meg ami éppen van. Az AmIRC-el
elég egyszerű klónozni, hiszen csak rányomunk egy serverre és Connect
Thread, és jön is a klón, de a következőkre kell figyelnünk: Itt egy IRC serverlista: irc.extra.hu
6667 Én ennyiről tudok, ezek kb 5-6 klónra elegendőek, ami elég is, ha így nem jönnek le, akkor úgyis be vannak védve vmi hülye scriptel. (Értem. Ha meg bírja védeni őket, az minden bizonnyal hülye script-Emeric SH) Nem kell mindig a maximumot felhozni, legtöbbször elég 2-3 klón is, ha már van célpont lehet nyugodtan próbálkozni. Ha megvannak a klónok, illik velük nevet váltani, főleg, hogy ha olyan lamer, és nincs fenn script, akkor ha nevet váltunk, már nem is fogja tudni, hogy mi vagyunk. A 2. dolog, a klónok ne legyenek semmilyen csatornán, több okból se. 1. mert lassítják a csatornák a klónok vonalát. 2. mert ha azon vannak, akkor a gyerek megnézheti, és feljöhet megkeresni a klóngazdát, meg odajöhet anyázni, ami nem éppen egészséges. Esetleg ha kemény fiú, takeoverelheti is a csatit, ami nemcsak neked, de a csatin lévőknek is nagyon rossz, és nagyon, de nagyon morcosak lesznek rád. Ha mindennel készen vagyunk akkor jöhet a kérdés, namost hogy küldjünk mi szerencsétlennek 40-50 pinget úgy, hogy ne egyesével kelljen felnyíl+ENTER kombinációval előidézni a PING parancsot. Erre szolgál a következő kis AREXX sciptem amit a rexx könyvtárba dobtam: /* Repeatscript
- by /MakkMarci/ */ most
nem szeretnék belemerülni az Arexx programozás rejtelmeibe, úgyhogy
a kód magyarázatát elhagyom. A lényeg, hogy a txt helyére bármilyen
AmIRC sort beilleszthetünk, jelen esetben a /ping WinJani parancsot
is: Egymásra
helyezzük a klónok ablakait, mindegyikbe bemásoljuk ezt a sort, és hajrá.
Nem véletlenül írtam 10-et, ha többet küldünk, akkor lehet, hogy a server
válik meg tőlünk. Vmi oknál fogva ha sok ping megy egyszerre a server
minket vág ki excess floodal.. érdemes figyelni a lagometert a művelet
közben. Amíg nem villog mehetnek a tizes csomagok. ha /VERSION parancsot
adunk, akkor mehetnek bátrabban is a csomagok, pl 40-esével. Ha /MSG
-t adunk, ne felejtsünk el a Nick után szöveget írni. fel is lehet idegesíteni
szegénykét, pl egyfolytában azt a szöveget kapja, hogy "húzz a francba",
és ha ebből kap pl 300-at, az elég idegesítő. Ha scriptje van (amit
egy sima /VERSION parancsal könnyen megnézhetünk) (Vagy nem, értelmesebb
scripteknél lehet állítani a version szöveget-Emeric SH), akkor
mindezek fentebb leírt támadások nem igazán működnek. Persze köztük
is van lamer, aki rosszul configolja be és szépen kipottyan 20 ping
után, de ez a ritkábbik eset. 1.
az illetőnek van egy csomó netes ACCOUNT-ja, amivel más hostokról képes
klónokat felhozni. Megemlítenék még 1-2 csati támadási formát is, amit nemigazán tudunk kivitelezni, és már csak az olyan csatik ellen jó, ahol lamerek botjai vannak. Ezek: NICKFlood
-felhoznak kb 15-20 klónt(ez alatt nemigazán érdemes) és elkezdik gyorsan
változtatni a klónok neveit.. ilyenkor mindenki hullik a csatiról, és
nemigazán tudok ellene védelmet.. hagyd el a csatit amíg lehet... Mindkét támadási formát a botok 99% ismeri, és kivédi egy egyszerű bannal, illetve látni, hogy a csatornán a LIMIT-et mindig állítják.. Hát most már tudjuk, hogy emiatt. Akkor kezdődjön a 2. rész amiben a közvetlen támadások ellen védekezünk, és mi támadunk, bár az utóbbi elég körülményes, mivel nem sok minden van a kezünkben, főleg ha modemmel rendelkezünk. Az első amit megnézünk az a modemkatt lesz.. mindeki jókat szokott káromkodni, mikor csak annyit hall, hogy KATT... aztán a ledek kialszanak, és modemünk alaphelyzetbe kerül, a Linuxos srác pedig jót röhög... (win alá nemigen láttam..). A pc-sek körében ezt modem blitz-nek hívják, ne kérdezzétek miért... A támadás úgy jön létre, hogy kapunk egy bizonyos ICMP csomagot, ami egy PING csomag (húú de ismerős, de ez nem az a ping) és abban egy speciális jelsorozatot küldtek el nekünk, méghozzá olyat, ami ha BÁRMELYIK modemen átmegy, ami nincs levédve, akkor azt lekattintja. Persze amit lekattint, az az utolsó. Nem más ez, mint egy modem parancs. Szegény modem azt hiszi, hogy mi kértük, hogy kattanjon, és teszi is a dolgát. Az ICMP PING csomgaról annyit kell tudni, hogy a legakaratosabb csomag a világon. Szinte mindenen átmegy a lokális hálót kivéve. És ez a csomag nem egy bizonyos nyitott adatcsatornán megy, mint az IRC, vagy a WWW. Néha eltéved egy kicsit a világhálón, de mindig megtalálja, akit keres. A védekezés úgy néz ki, hogy átállítjuk modemünket, hogy ne azzal a parancssorral lehessen programozni, mint az átlag modemeket. Nem szeretnék nagyon szájbarágós lenni, de asszem így lehet a legérthetőbben leírni mi is a teendő. Akkor lássuk a gyakorlatban a a védekezést: Miami felhasználóknak: - indít
miami ha
idáig eljutottunk, akkor most jön a lényeg. Látunk ott vmi ilyesmit:
AT&F&K3&C1&D0\r - nemmindenkinek ezvan... a védelem pedig az, hogy beírunk
ide még pár karaktert: S2=255 namost a 255 helyett bármi lehet 128-255
ig. én a végére tettem, és most így néz ki: AT&F&K3&C1&D0S2=255\r MiamiDX
felhasználóknak: Innentől a miaminál leírt módon járunk el, és betesszük az S2=255-öt. Figyelem, ha véletlenül nem jönne össze a dolog (pl nem tárcsáz), akkor próbáljuk áthelyezni a stringet, vagy pedig & jellel elválasztani. NE tegyük a \r után. Van a második eset.. ugye itt is, mint fentebb olvashattuk lehet PING csomagocskákat küldözgetni, aminek nagyon nem örülünk, ha sokat kapunk. A Miami-ban viszont be lehet kapcsolni egy nagyon jó funkciót: Ping flood protection. Ez mindig legyen benyomva. Miami
és DX felhasználóknak egyaránt: Most senki se higgye, hogy ezzel 100%-os védelmet ért el. Mint az IRC-nél, itt is igaz az elv, hogy ha nagy a sávszélesség, nagyobb a támadás erelye. A Ping flood protection csak annyit tesz, hogy nem válaszol a géped, ha sokat kérnek tőled, és kiírja a támadó IP számát, hogy vissza tudj lőni rá. Ha 10, vagy 100Mbitről jönnek a pingek, esélyed szinte semmi a túlélésre(ha modemről vagy). Ki lehet védeni majd ezt is, nemsokára írom is, hogy hogyan. Ha ezzel is megvolnánk akkor jön a következő. Nemcsak ICMP PING csomaggal lehet támadni, hanem úgy is, hogy hozzád "becsatlakoznak" egy portra, és elkezdik gyűrni a gépedet. Szegényke pedig csak generálja, generálja és tolja ki a portra a válaszokat, holott nem is biztos, hogy van ott vki, aki fogadja. Ez ellen a következőt tehetjünk: Fogjuk szépen, és bezárjuk az összes portot, nem kell hogy nyitva legyen semmi sem, hiszen, majd ha mi szeretnénk vmit, akkor nyitunk kapcsolatot, de csak azzal, akivel akarunk. Lássuk, hogy zárjuk be a kapukat: Miami és DX felhasználóknak egyaránt: -indít
Miami Semmilyen
hátrányunk nem származik ebből, csak már nem leszünk olyanok, mint a
kivilágított céltábla... Most
jön a legjobb védelem, ami sajna nemmindenkinek adatik meg, meg nem
is mindig jó: ha szerzünk egy ACCOUNT-ot, és egy nagyobb sávszélességű
serveren keresztűl megyünk fel a NET-re. Mivel, ha nem tudják a hostunkat,
vagy az IP-nket, akkor már lőhetnek ránk bármit, hozzánk nem jut el,
csak a nagy servert lövik, amit elég nehéz. Ennek vannak bizonyos hátulütői
is: Asszem ennyi lenne a védelemről, az AMIGA-t elég nehéz kilőni, mivel nem tudok beépített bugokról, ellenben a m$-os gépekkel. Biztos hat rá pár trükk, de engem eddig a 10Mbites Floodon kívűl nemigen vitt le más. (Ja meg egyszer a kutyus fennakadt a telefonzsinorban :-) ) Lássuk a támadás részét. Hát
itt már nehezebb dolgunk van, nem lehet csak úgy scriptecskéket írkálni,
itt legtöbbször már C programokról van szó, és nemigen adják ki a kezükből
az illetékesek. Mindenesetre itt is van 1-2 trükk amit elárulhatok:
Kezdjük a Linuxot használó pc-sek kedvenc trükkjével a modem katt(blitz)tal.
ehhez nem kell semmilyen extra program. Pinget mi is tudunk küldni,
mivel a Miami-hez adnak egy progit, a neve: MiamiPing, és a Miami: on
található. A lényege a dolognak a modemparancs, mi így néz ki: +++ATH0
Ezt
nekünk hexába kell megadnunk PING pattern-ként: namost, a pingető progi elindúl, és mennek a csomagok, ha 5 másodpercen belül nem érkezik vissza csomag, akkor nyertünk, vagy pedig elnyelte, ha visszaérkezik (írja hogy ping reply 1524 ms) akkor ez a támadás hatástalan ellene, ne is próbálkozzunk tovább. Arra azért figyeljünk, hogy ha kiesik így, az IRC-n a nickje NEM fog egyből eltünni, hanem majd kicsit később (1-2-3 perc) fog kiesni Ping timeout-al, és ez általában igaz a többi gyilkolászós dologra is, amit nem az ircen végzel. Ez a támadás azért is jó, mert ha nem sikerül, akkor az illető nem szerez tudomást a támadásról, hiszen nem voltunk aggresszívak. Ha "nagy" a sávszélességünk, vagy van pár haverunk, akkor lehet a favágó módszert alkalmazni, essünk neki PING csomagokkal. Itt szintén a fentebb említett progit fogjuk használni, hiszen nem vagyunk programozók... MiamiPing -f -c 30 -s 1000 host v. IP A -f a floodot jelenti, a -c a csomagok számát, a -s a csomag méretét. Hát.. itt már veszélyes a helyzet, mivel nem az IRC serverről,hanem a szolgáltató serveréről eshetünk le... ami ugye nem egészséges... Van még a winnuke, de az már nem működik, úgyhogy azzal nem foglalkozom, ill. van új, de nincs meg nekem. Szóval, itt a fő elv a sávszélesség. Persze vannak win$-t akasztó programok, és ezek a neten C forrásban meg is találhatók. Csak három gond van velük: 1.
tele vannak Antilammer bugokkal Hát, asszem ennyi lenne amit eme témában le tudtam írni, biztos vannak benne hibák, vagy vki jobban tudja. Ha kérdés lenne, azt az mmlada@freemail.hu-ra várom, szívesen válaszolok. Jajj... majdnem kihagytam a legfontosabbat!! Ugye most senki sem áll neki poénból öldökölni, mert akkor azt én fogom leöldökölni!!! Sokszor volt már, hogy poénból öldökölték a PC-seket, mert unatkoztak a csatin az emberek... Ennek két vége lehet: 1.
jönnek és takeover #amigahu aminek nagyon nem örülnék Én amondó vagyok, jobb beégetni a gyereket 10 csaj előtt, mint látni, ahogy lepottyan, szerintem sokkal nagyobb mulatság... Hát akkor ennyi voltam, adios amigos, és biztonságos netezést mindenkinek! MakkMarci of TFF
|