Irc Saldırı Tipleri

Zubat

Bir kanaly veya botu ele geçirmenin veya kullanylamaz hale getirmenin bir çok yolu mevcut. Bunlardan korunmanyn en sa?lykly yolu ise bu saldyrylaryn nasyl yapyldy?y hakkynda bilgiye sahip olmak. A?a?yda anlatylanlar, bu saldyry yöntemlerinin çok syk kullanylanlarydyr.

Saldyry tiplerini kabaca genel saldyrylar, eggdrop saldyrylary, flood saldyrylary ve sunucu saldyrylary olmak üzere dört ba?lyk altynda toplayabiliriz. Bu ana ba?lyklary da kendi içinde dallandyrmak mümkün.


1-) Genel Saldyrylar

a) Op Saldyrylary:

Bu saldyrylar genelde kanalda kayytly bulunan oplardan gelir. Oplardan birisi sürekli di?er oplary ve/veya botlary deop eder. Kanal oplaryny ne kadar iyi seçerseniz bu saldyryyla kar?yla?ma ihtimaliniz de o kadar azalyr. Ayryca kanal oplarynyn di?er kullanycylara op vermemesini de sa?lamalysynyz.

b) ?ifre Saldyrylary:

?ifre çalynmasy oldukça büyük bir problem. ?ifre çalmak için genelde üç yöntem kullanylyr.

Bazy kullanycylar kendilerini bota tanytmak için otomatik mesaj gönderirler.(bazy mirc scriptlerinin sunucuya ba?landy?ynda sizin nick ?ifrenizi göndermesi gibi) ?ifreyi çalmak isteyen ki?i botun nicki ile kanalda durmaktadyr fakat nicki identify etmemi?tir. Kullanycy otomatik olarak mesaj gönderdi?i için bu nickin identify edilip edilmedi?ini denetlemez ve böylece ?ifresini kaptyrmy? olur. Bunu engellemek için biraz "uyanyk" olmak yeterli.

Di?er yöntem ise ?ifreyi çalmak için sniffer programlary kullanmak. Bu programlar bir dosyadaki kelimeleri syrayla deneyip ?ifreyi bulmaya çaly?yyorlar. Bu dosyalar ise milyonlarca kelimeden olu?uyor. Bu yöntem ile ?ifrenin bulunmasy bir kaç dakika da sürebilir birkaç yüz yyl da. ?ifreleriniz sadece alfabetik ve nümerik karakterlerden olu?masyn. _ - [ gibi karakterleri de kullanmalysynyz. Bu sayede bu tür programlar ile ?ifrenizin bulunmasy zorla?yr.(imkansyz demiyorum çünkü teorik olarak mümkün) Ayryca belirli periyotlarda (mesele ayda bir) ?ifrenizi de?i?tirebilirsiniz.

Kullanylan di?er bir yöntem ise brute-force saldyrylary. Bu saldyryyy yapan birisi bota kayytly kullanycylaryn ?ifresini ele geçirebilir. Bu sayede hem botu hem de kanaly yönetebilir. Bu tip saldyrylardan korunmak için botun flood ayarlaryny oldukça iyi yapmak ve log dosyalaryny denetlemek yeterlidir.

c) IP Saldyrylary:

Bu saldyry aslynda oldukça üst düzey bir saldyrydyr. Kanal sahibi olarak bu tip bir saldyrydan korunmak imkansyz.

Saldyrgan irc sunucusu ile kanal sahibi arasyndaki ileti?imi engeller yada irc sunucusundan kanal sahibine giden bilgilere bazy hata mesajlary veya komutlar ekler. Böylece kanal sahibinin kullandy?y irc istemcisi(mesela mirc) irc sunucu ile ba?lantyyy keser. Bundan sonra saldyrgan kanal sahibinin ip adresini ve nickini alarak sunucu ile ileti?ime geçer.

Zaten bu tür bir durumda kanaldan çok sunucu tehlikede demektir. Bunu engellemek için irc sunucusu olarak kullanylan yazylymyn standart dy?y olmasy gerekir. Standart dy?y derken mesela bir open-source irc sunucu yazylymynyn bazy kysymlary de?i?tirilerek kurulabilir. Böylece saldyrgan sunucunun nasyl i?ledi?ini bilemedi?inden saldyryyy gerçekle?tiremeyecektir yada yazylymyn gerekli yamalary yapylmalydyr. Böylece saldyrganyn sunucu ile kullanycy arasyndaki ileti?ime eri?mesi engellenebilir

2-) Eggdrop Saldyrylary

a) Hostmask taklidi:

Bazy irc sunucularynda hostmask taklidi yapmak mümkün. Bu tip bir sunucuda saldyrgan bota kayytly kullanycylardan birinin hostmakyny alyp botdan op alabiliyor. Bunu engellemek için bu tip sunucuda kullandy?ynyz botun +autoop ayaryny kapatmak ve kullanycylara +a bayra?yny vermemek yeterli olacaktyr.

b) Op Taklidi:

Bota kayytly kullanycy bottan op istedi?i anda saldyrgan kullanycyya flood saldyrysy yaparak ba?lantysynyn kesilmesini sa?lyyor. Daha sonra kullanycynyn nickini alarak bottan op almy? oluyor.

Normal olarak bir botun kayytly bir kullanycyya op vermesi ?u ?ekilde gerçekle?ir:

** Kullanycy bota istek gönderir **
Kullanycy: /MSG botadi op ?ifre
** Bot bir op istedi?i alyr ve kullanycy dosyasyndan bu kullanycyyy arar **
** Kullanycynyn kaydyny bulur ve op verir **
Bot: /MODE #kanal +o kullanycy

Saldyry syrasynda ise ?unlar olur:

** Kullanycy bota istek gönderir **
Kullanycy: /MSG botadi op ?ifre
** Bot bir op istedi?i alyr ve kullanycy dosyasyndan bu kullanycyyy arar **
** Kullanycynyn kaydyny bulur ve op verir **
** Bu arada saldyrgan kullanycyya flood saldyrysy yapar **
** Kullanycynyn saldyrgan nedeniyle ba?lantysy kesilir **
** Daha sonra saldyrgan kullanycynyn nickini alyr **
saldyrgan -> kullanycy
Bot: /MODE #kanal +o kullanycy

Böyle saldyry olmaz demeyin. Özellikle eggheads.org sitesine bu konuda oldukça fazla ?ikayet gelmi?. Bu tip bir saldyry ya?anmasynyn iki nedeni vardyr. Ya bot laga dü?mü?tür yada irc sunucusunun servisleri lagdadyr. Normal ?artlarda bu tip bir saldyry pek etkili olmaz.


c) Buglar ve açyklar:

?imdiye kadar çykan eggdrop sürümlerinin hiç birinde bir bug yada açyk nedeniyle saldyrgana op verilmesi yada eggdropun ele geçirilmesi söz konusu olmamy?tyr. Ancak yükledi?iniz tcl scriptlerinde ve/veya modüllerde bu tip açyklar olabilir veya eggdropun çaly?ty?y sisteme virüs ve/veya trojan bula?my? olabilir. Bu nedenle hem sistemi hem de scriptleri/modülleri iyi kontrol etmek gerekir.

d) Shell saldyrylary:

Eggdrop sa?layan shell sunucusuna yapylacak bir saldyryyy do?al olarak sizin dü?ünmenize gerek yok. Sunucunun yöneticisi bu tip saldyrylara yeteri kadar kafa yoruyordur zaten ircrosoft.net/uploads/smil3dbd4d6422f04.gif"> Ancak bazen onlar da çaresiz kalabiliyor ve sunucuya yapylan saldyry ba?aryly olabiliyor. Bu durumda (yönetici zaten sizi ?ifrelerinizi de?i?tirmeniz konusunda uyaracaktyr) botunuzu durdurun ve ?ifrelerini de?i?tirin. Tüm kullanycylary silip yeniden farkly ?ifreler almalaryny sa?layyn.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=5304
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=5304


e) Kullanycy Dosyasy De?ifrelemesi:

Kullanycy dosyasynyn bulundu?u dizinin chmod ayarlary mutlaka 700 olmaly. Bu sayede herhangi birinin kullanycy dosyasyny okumasy ve de?ifre etmesi engellenmi? olur. E?er saldyrgan kullanycy dosyasyny ele geçirirse dosyayy de?ifre etmesi en fazla bir iki gün sürer.

f) Netsplit Modlary:

E?er botunuz kullanycylaryn kanalda ban/exempt/intive koymasyna izin veriyorsa bir netsplit syrasynda op olan saldyrgan bot(lar)a ban koyabilir. Netsplit kalkty?ynda ise bot(lar) sunucu tarafyndan kanaldan atylacaktyr. Bu tip saldyrylardan korunmak için botlaryn birbirlerini asla banlamamalaryny veya atmamalaryny sa?lamalysynyz.

g) Mod Listesi Saldyrysy:

Bütün irc sunucularynyn kanallar için belirli mod sayysy synyrlamasy vardyr. Mesela ircNet için kanal ban sayysy 30’dur. Bu sayy bir wingate, proxy veya vhost kullanylarak kolayca doldurulabilir. Eggdrop -1.4.0 versiyonundan beri- e?er kanal mod listesi doluysa yenilerini eklemeye çaly?maz ancak yeni bir tane eklenmesi gerekti?inde de eskileri silmez. Bu tür saldyrylarda kanaly geçici olarak +i (invite only) moduna almak en pratik çözüm gibi gözüküyor. Bunun için eggdrop da?ytymlaryyla gelen "sentinel" scriptini kullanabilirsiniz.


h) Disk Doldurma Saldyrylary:

Shell aldy?ynyz sunucuda, size ayrylan disk kapasitesi çok kysytlyysa syk syk kullandy?ynyz miktary kontrol etmelisiniz. E?er limitinizi doldurursanyz botunuz kullanycy dosyasyny düzgün olarak kaydedemez. E?er bu durumu iki gün içinde fark edemezseniz kullanycy dosyasynyn yede?i de de?i?tirilece?i için yedek dosyasyny da kaybetmi? olursunuz. Bu syrada botun yeniden ba?latylmasy gerekirse botunuz hata verip kapanacaktyr. Bu durumdan keep-all-logs ayaryny syfyr ve max-logsize ayaryny uygun bir de?er yaparak kurtulabilirsiniz.

y) Zayyf ?ifre Saldyrylary:

Eggdropun 1.4.x ve 1.5.x serilerinde bu tip bir bug tespit edildi. E?er bir kullanycy "aaaaa" veya "abcdabcd" gibi zayyf ?ifre kullandyysa saldyrgan ?ifre olarak "a" veya "abcd" kullanarak bota giri? yapabiliyor. Kullanycylarynyzy bu tip ?ifreler seçmemesi konusunda uyaryn.


i) TCL Komut Y?leme Saldyrylary:

TCL’de bütün metinler parantez içinde kullanylyr ve bu metinlere komutlar da dahildir. Bazy kötü kodlanmy? scriptler nickleri ve metinleri, içerebilecekleri komutlara kar?y denetlemezler. Örne?in yükledi?iniz bir badnick scripti bu tür bir denetim yapmyyor ve gelen verileri oldu?u gibi i?liyor. E?er kanala ’NoT[die]’ nickli biri girerse bu scriptin yüklü oldu?u tüm botlar kapancaktyr. Çünkü nickin içinde botu kapatmaya yarayan "die" komutu geçmektedir. Bu tür script açyklary daha çok timer, utimer, expr ve eval komutlaryny kullanan scriptlerde kar?ymyza çykmaktadyr. Bu bir eggdrop açy?y de?ildir.


j) Fake-Bot Saldyrylary:

E?er saldyrgan sizin botnet yapynyzy biliyorsa, botunuzun çaly?tyryldy?y sunucu üzerinden kendine bir eggdrop sa?layabilir(mesela ayny ?irketten hesap satyn alabilir) ve sizin botunuzu devre dy?y byrakyp, kendi botunu sizin botunuzun nicki ve ip adresiyle botnetinize ba?lar. Bu durumda sizin botunuzun ?ifresi olmady?yndan di?er botlar yeni ?ifre alyrlar. Böylece fake-bot botnete syzmy? olur. Senaryo daha da kötüle?ebilir. Sizin botunuzun yada saldyrgan botun di?er botlar ile de?i?en kullanycy bilgilerini de?i?tirmesi daha vahim sonuçlar do?uracaktyr.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=5304

Saldyrgan bu tip uzun bir yöntem izlemeden de, botnete syzmasyny istedi?i botun ip adresini ip spoofing yaparak de?i?tirip ayny saldyryyy yapabilir.


Kaynak: ircrosoft.net/modules/wfsection/article.php?articleid=46">http://www.mircrosoft.net/modules/wf...p?articleid=46