Nukers en IRC

- Ataque por desbordamiento o flood. Basado en la propia estructura del Internet Relay Chat (IRC) es una de las técnicas más básicas y antiguas de ataque.
Los servidores de IRC controlan el caudal de datos que un usuario envía para así evitar que provoque la saturación de la red. Por ello, si un usuario envía datos de forma masiva el servidor de IRC detecta el problema y lo desconecta por "Excess Flood".
En la práctica, el ataque por "flood" consiste en provocar que un usuario determinado envíe muchos datos al servidor para que este lo desconecte por "Excess Flood". Para lograrlo se utilizan comandos de IRC que provocan una respuesta por parte de un usuario como, por ejemplo, "PING" o "VERSION". Cada vez que se invoca el comando PING hacia un usuario éste devuelve un PONG, lo que sirve para medir el tiempo de respuesta entre dos usuarios. Si de forma continuada se realizan muchas peticiones PING a una misma persona ésta intentará responder a todas ellas, por lo que podría sobrepasar el límite de tráfico que admite el servidor IRC y provocar su desconexión por "Excess Flood". A su vez, el atacante puede incurrir también en un "Excess Flood", ya que tiene que mandar PINGs de forma masiva y sobrepasar el límite de tráfico permitido por sesión.
Debido a que el citado ataque es muy conocido, la mayoría de los clientes de IRC incluyen algún tipo de protección para detectar las peticiones masivas y evitan caer en el "Excess Flood". Desde los servidores de IRC también suelen limitar el número de clones -o sesiones simultáneas-, desde una misma dirección IP, dificultando así la labor de estos ataques distribuidos.
El "nick" o apodo es el nombre público que los usuarios utilizan en IRC para ser reconocidos y comunicarse con otros usuarios. Aunque, por defecto, no pueden existir dos personas conectadas al mismo tiempo en una red de IRC utilizando el mismo "nick", existen algunas excepciones que pueden provocar la colisión de "nicks" y conllevar la desconexión de los usuarios implicados.
Las redes de IRC están constituidas por varios servidores interconectados entre ellos. En ocasiones, por problemas determinados en la red, algún servidor o conjunto de ellos no puede comunicarse con el resto, produciéndose lo que se conoce como "split". En dicha situación el servidor afectado continua funcionando de forma independiente, mientras que los ordenadores afectados -es decir, los que físicamente entraron por ese servidor-, podrían comunicarse entre sí aunque permanecerían desconectados del resto de la red de IRC.
Justo cuando sucede un "split" un atacante puede dar de alta una nueva sesión -o "clon"- con el "nick" de la persona que permanece conectada en su servidor pero no se encuentra dentro de la red. En la práctica, el conflicto de "nicks" se produce cuando el servidor afectado puede restaurar la conexión con el resto de la red de IRC (es decir, cuando termina el "split"), ya que en ese momento existirán dos "nicks" idénticos en la red. (El ataque también puede darse a la inversa, es decir, creando una nueva sesión con el mismo "nick" en un servidor con "split", mientras que la víctima se encuentra en la red IRC).
En las redes sin protección este conflicto provoca la desconexión de las dos sesiones que coinciden en el "nick", es decir, la de la víctima y la del "clon" del atacante, si bien el último seguirá conectado a la red IRC con su sesión y "nick" original. En redes IRC más avanzadas se comprueba qué sesión -de las dos que comparten el mismo "nick"-, era la más antigua, para desconectar la más nueva y proteger al que hubiera entrado antes en la red con ese "nick". Esto último es lo que suele ocurrir en la mayoría de las redes IRC actuales, por lo que este "nuke" es poco efectivo hoy día.
El ICMP ("Internet Control Message Protocol") se encarga de notificar diferentes errores y problemas que pueden producirse durante la transmisión de paquetes TCP/IP entre sistemas. En la práctica, los ataques basados en ICMP consisten en enviar mensajes falsos para hacer creer al sistema del usuario o al servidor IRC que se han detectado errores, y así provocar el corte de la comunicación que ambos mantenían.
Para que el ataque se realice con éxito es necesario enviar algún mensaje de error -como "Bad Port", "Network Unreachable", etc.-, al puerto utilizado para la comunicación IRC del cliente o del servidor. En el caso de los servidores suelen ser puertos fijos -como, por ejemplo, el estándar 6667-, mientras que en los clientes suele ser un puerto dinámico (a partir del 1024).
Para evitar ataques como el anteriormente descrito, tanto los servidores como los clientes pueden utilizar cortafuegos hardware o software que filtren determinados paquetes ICMP.
-Land, que se basa en enviar a la víctima un paquete modificado de forma que la dirección y el puerto de origen coincidan con los del destino. Para ello simula que el receptor se envía un paquete a sí misma, lo que provoca un bucle infinito de tráfico que conlleva -según el sistema operativo- distintos efectos como bloqueos, la utilización al 100% de la CPU o el reinicio del sistema.
La prevención de este ataque pasa por mantener los sistema actualizados, ya que tanto los sistemas operativos como los routers afectados facilitaron los parches adecuados. Así, por ejemplo, en Windows NT se corrigió en una actualización posterior al Service Pack 3.
-Sping, ataque en el que es necesario enviar a la víctima una serie de paquetes fragmentados que provocan excepciones a la hora de reconstruirlos debido a errores en la implementación de la pila TCP/IP, lo que provoca que el sistema operativo se bloquee.
Como en el caso anterior, la prevención pasa por mantener los sistemas actualizados, ya que se corrigieron las pilas TCP/IP para que la reconstrucción de paquetes fragmentados se llevara a cabo de forma correcta.
- Smurf, ataque que multiplica los paquetes de envío contra la víctima aprovechando otros sistemas de una red. Para ello construye un paquete ICMP "echo request" con la dirección de origen modificada para que parezca que ha sido enviado por la víctima. El paquete se envía a una dirección broadcast de la red local, por lo que lo recibirán todos los ordenadores integrados en ella. A su vez dichos ordenadores mandarán su respuesta a la dirección de origen -que no es otra que la de la víctima-, lo que provoca un aluvión de paquetes que termina por desbordar el ancho de banda.
Este problema no puede corregirse desde el cliente, ya que su prevención se encuentra a nivel del ISP, cuyos administradores deben configurar correctamente los routers para filtrar los paquetes ICMP e impedir que el resto de máquinas puedan actuar como puente para lanzar ataques masivos. 

Criptografia - Virus y Troyanos - Nukers IRC - IDS - La Heuristica en los Antivirus - Antivirus - Virus - Troyanos - Spoofing - Reglas de Seguridad - Elegir una buena clave - Windows o Linux?

[

]

volver a lcu