ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Во времена, когда автор особо интересовался темой irc-уязвимостей, логикой защит и атак irc-ресурсов, для нужд некой группы любителей "пошуметь" в irc-сети RusNet был продуман возможный план получения контроля над вполне определенным каналом. Но использовать план не довелось по причине нехватки особых ресурсов.
Несмотря на прошедшее время, план годен чуть менее чем полностью, и предоставлен вам в виде статьи. Возможно, ценность материала сугубо познавательная, а возможно практико-образцовая. В общем:

План захвата канала # сети RusNet
Разработка: begin_end © 2007

Особенности канала.
Канал #, (далее просто канал) технически представляет собой канал вполне обычного типа с префиксом # и отсутствием имени. Фактически имя канала это только его префикс. В связи с этим сервисы сети, действующие на данный момент, не позволяют регистрировать канал, считая такое имя ошибочным. Умышленно ли это сделано или случайно – неизвестно. Важно, что у канала нет, и не может быть владельца на сервисах. Кстати, некоторые боты также неверно воспринимают такой канал. При создании своего собственного бота (обычного или военного) не допускайте таких ошибок.
Так как сервис ChanServ действовать на канале не может, за управление всеми функциями канала отвечают пользователи и боты. Понятно, что в таком случае безопасность канала уже не может быть на таком же уровне, как и с действующими сервисами. Люди медлительны, боты или скрипты несовершенны/уязвимы и вообще все они в целом не имеют привилегий на осуществление действий на ircd сервере (команды от сервисов практически не имеют очереди ожидания, сервисы не штрафуются при многократном пакетном изменении режимов и т.д.).
Юзеров канала можно классифицировать следующим образом:


Боты могут присутствовать следующие:


Живых же пользователей можно подразделить так:


На данный момент точный список ников с присвоением никам юзеров канала соответствующих положений в классификации отсутствует. Его неплохо составлять задолго до атаки и постоянно обновлять, используя автоматизированные средства анализа канала, а также метод провокаций.

Общие рекомендации.
Целью атаки является захват контроля над каналом на максимально возможное время. В случае рассматриваемого канала захват контроля – единоличное владение атакующим юзером статусом оператора на канале. Логика захвата проста: получить статус оператора для себя и отобрать его у всех остальных. Однако проблемно то, что на канале, как правило, огромное число пользователей и ботов имеют этот статус. Понятно, что при попытке массового деопа сработают защитные функции у ботов. Что ж, то, что сработают – неизбежно. Однако у защитных ботов и пользователей операторов те же ограничения, что и у нас. И если «наших» будет больше, то правильная последовательность действий может быть успешной. Эта последовательность заключается в методе лавинного опополучения и опоснятия. Общая суть примерно такова: Один наш бот имеет оп. Входят три наших бота, которые получают оп от первого бота пакетом. Затем входят следующим тактом 9 ботов, которые получают опы от трех предыдущих. Эти 9 ботов тратят свои действия частично на оп следующей партии ботов, а частично на деоп/кик/бан наиболее опасных юзеров. Следующая партия делает то же, с добавлением действий по снятии банов и защит, которые уже успели осуществить вражеские боты.
Первый бот, имеющий оп, будет их числа наших ботов – шпионов, которых заблаговременно следует завести на канал для сбора информации. Они обязательно должны иметь не воспринимаемые как прокси, различные адреса и пользователеподобные параметры. Эти боты во время атаки (конечно кроме бота, опнувшего партию из 3-х первых атакеров) будут нашими глазами и ушами – по ним мы должны координировать действия атакующего, желательно автоматически. Ни один бот в ботнете не должен иметь каких либо признаков, которые могут раскрыть кто мы.