Çevrimdışı

Bir kanalı veya botu ele geçirmenin veya kullanılamaz hale getirmenin bir çok yolu mevcut. Bunlardan korunmanın en sağlıklı yolu ise bu saldırıların nasýl yapıldığı hakkında bilgiye sahip olmak. Aşağıda anlatılanlar, bu saldırı yöntemlerinin çok sık kullanılanları. Elbette farklı yöntemler kullanılarak bu saldırılar yapılabilir. Ne yazık ki bazı saldırıların önüne geçmek bazı durumlarda imkansız olabiliyor. Bu tip durumlarda kanalı geçici olarak kapatmak en iyi çözüm olabiliyor.


Saldırı tiplerini kabaca genel saldırılar, eggdrop saldırıları, flood saldırıları ve sunucu saldırıları olmak üzere dört başlık altında toplayabiliriz. Bu ana başlıkları da kendi içinde dallandırmak mümkün.

1-) Genel Saldırılar

a) Op Saldırıları:

Bu saldırılar genelde kanalda kayıtlı bulunan oplardan gelir. Oplardan birisi sürekli diğer opları ve/veya botları deop eder. Kanal oplarını ne kadar iyi seçerseniz bu saldırıyla karşılaşma ihtimaliniz de o kadar azalır. Ayrıca kanal oplarının diğer kullanıcılara op vermemesini de sağlamalısınız.


b) Şifre Saldırıları:

Şifre çalınması oldukça büyük bir problem. Şifre çalmak için genelde üç yöntem kullanılır.

Bazı kullanıcılar kendilerini bota tanıtmak için otomatik mesaj gönderirler.(bazı mirc scriptlerinin sunucuya bağlandığında sizin nick şifrenizi göndermesi gibi) Şifreyi çalmak isteyen kişi botun nicki ile kanalda durmaktadır fakat nicki identify etmemiştir. Kullanıcı otomatik olarak mesaj gönderdiği için bu nickin identify edilip edilmediğini denetlemez ve böylece şifresini kaptırmış olur. Bunu engellemek için biraz "uyanık" olmak yeterli.
Diğer yöntem ise şifreyi çalmak için sniffer programları kullanmak. Bu programlar bir dosyadaki kelimeleri sırayla deneyip şifreyi bulmaya çalışıyorlar. Bu dosyalar ise milyonlarca kelimeden oluşuyor. Bu yöntem ile şifrenin bulunması bir kaç dakika da sürebilir birkaç yüz yıl da. Şifreleriniz sadece alfabetik ve nümerik karakterlerden oluşmasın. _ - [ gibi karakterleri de kullanmalısınız. Bu sayede bu tür programlar ile şifrenizin bulunması zorlaşır.(imkansız demiyorum çünkü teorik olarak mümkün) Ayrıca belirli periyotlarda (mesele ayda bir) şifrenizi değiştirebilirsiniz.
Kullanılan diğer bir yöntem ise brute-force saldırıları. Bu saldırıyı yapan birisi bota kayıtlı kullanıcıların şifresini ele geçirebilir. Bu sayede hem botu hem de kanalı yönetebilir. Bu tip saldırılardan korunmak için botun flood ayarlarını oldukça iyi yapmak ve log dosyalarını denetlemek yeterlidir.


c)IP Saldırıları:
Bu saldırı aslında oldukça üst düzey bir saldırıdır. Kanal sahibi olarak bu tip bir saldırıdan korunmak imkansız.

Saldırgan irc sunucusu ile kanal sahibi arasındaki iletişimi engeller yada irc sunucusundan kanal sahibine giden bilgilere bazı hata mesajları veya komutlar ekler. Böylece kanal sahibinin kullandığı irc istemcisi(mesela mirc) irc sunucu ile bağlantıyı keser. Bundan sonra saldırgan kanal sahibinin ip adresini ve nickini alarak sunucu ile iletişime geçer.
Zaten bu tür bir durumda kanaldan çok sunucu tehlikede demektir. Bunu engellemek için irc sunucusu olarak kullanılan yazılımın standart dışı olması gerekir. Standart dışı derken mesela bir open-source irc sunucu yazılımının bazı kısımları değiştirilerek kurulabilir. Böylece saldırgan sunucunun nasıl işlediğini bilemediğinden saldırıyı gerçekleştiremeyecektir yada yazılımın gerekli yamaları yapılmalıdır. Böylece saldırganın sunucu ile kullanıcı arasındaki iletişime erişmesi engellenebilir

2-) Eggdrop Saldırıları

a) Hostmask Taklidi:

Bazı irc sunucularında hostmask taklidi yapmak mümkün. Bu tip bir sunucuda saldırgan bota kayıtlı kullanıcılardan birinin hostmakını alıp botdan op alabiliyor. Bunu engellemek için bu tip sunucuda kullandığınız botun +autoop ayarını kapatmak ve kullanıcılara +a bayrağını vermemek yeterli olacaktır.

b) Op Taklidi:

Bota kayıtlı kullanıcı bottan op istediği anda saldırgan kullanıcıya flood saldırısı yaparak bağlantısının kesilmesini sağlıyor. Daha sonra kullanıcının nickini alarak bottan op almış oluyor.

Normal olarak bir botun kayıtlı bir kullanıcıya op vermesi şu şekilde gerçekleşir:

** Kullanıcı bota istek gönderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
Bot: /MODE #kanal +o kullanıcı

Saldırı sırasında ise şunlar olur:

** Kullanıcı bota istek gönderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
** Bu arada saldırgan kullanıcıya flood saldırısı yapar **
** Kullanıcının saldırgan nedeniyle bağlantısı kesilir **
** Daha sonra saldırgan kullanıcının nickini alır **
saldırgan -> kullanıcı
Bot: /MODE #kanal +o kullanıcı

Böyle saldırı olmaz demeyin. Özellikle eggheads.org sitesine bu konuda oldukça fazla şikayet gelmiş. Bu tip bir saldırı yaşanmasının iki nedeni vardır. Ya bot laga düşmüştür yada irc sunucusunun servisleri lagdadır. Normal şartlarda bu tip bir saldırı pek etkili olmaz.
c) Buglar ve Açıklar:

Şimdiye kadar çıkan eggdrop sürümlerinin hiç birinde bir bug yada açık nedeniyle saldırgana op verilmesi yada eggdropun ele geçirilmesi söz konusu olmamıştır. Ancak yüklediğiniz tcl scriptlerinde ve/veya modüllerde bu tip açıklar olabilir veya eggdropun çalıştığı sisteme virüs ve/veya trojan bulaşmış olabilir. Bu nedenle hem sistemi hem de scriptleri/modülleri iyi kontrol etmek gerekir.

__________________
Zirvem.Net