anticlonesx Addon que detiene Clonesx, protección de canales IRC

Voy a publicar este addon ya que su resultado es realmente bueno y que es imposible mantenerlo privado. Así que lo publico para que pueda ser util a todo el mundo.

Se trata del anticlonesx Su función es bloquear y silenciar los ataques de clones a canales de IRC. En concreto solo anula los ataques producidos con el programa ClonesX osea la gran mayoría.

Lo que hace es analizar los patrones y cuando entran repetidamente usuarios con estos patrones se activa la maquinaria, lo primero que hace es fijar modos +RM durante 60 segundos, con lo que se bloqueara el canal esto lo consigue en el mismo segundo en el que entran los clones con lo cual solo podran entrar los que quepan en ese segundo normalmente no más de 10. Después los banea de forma anidada para que pueda poner más bans en menos tiempo (+bbbbbb). También incorpora un protector de querys masivos poniendo +R durante dos minutos en caso de activarse.

Con el comando /anticlonesx se activa o desactiva y para cargar el addon se coloca el archivo anticlonesx.mrc en el raiz del mIRC y se carga con /load -rs anticlonesx.mrc. Puedes ver el código sin necesidad de instalarlo pulsando en Ampliar pero para que funcione correctamente es necesario cargar con /load el archivo. Con el comando //set %anticlonesx.numeroclones N fijas el numero N de clones que tienen que entrar para activarse la protección.

Descargar: anticlonesx v1.3 - 7kb Instalación: Guardar como... > Colocar anticlonesx.mrc en el raiz del mIRC > Ejecutar /load -rs anticlonesx.mrc

[aclaración: He visto que ya existia otro anticlonesx de similar función, he de aclarar que esto no tiene nada que ver con el de EvilKing y Zyberdog y que la coincidencia del nombre ha sido por simple falta de originalidad]

[Actualización: publicada la nueva versión 1.3 del anticlonesx]

I Concurso de Scripting (optimización)

Felicidades al ganador! y gracias a todos los que han participado.

1º - 320ms - anónimo (gorriion#hotmail.com)

2º - 340ms - (empate técnico) kLoKeR 2º - 340ms - (empate técnico) Lz (elezeta#gmail.com)

3º - 661ms - xlony

4º - 761ms - Racy (racy.2004#gmail.com)

5º - 771ms - Axayacatl

6º - 851ms - GONZO (gonzomail#gmail.com)

Los scripts se han medido en un 1333mhz Athlon XP 512mb en las mismas condiciones. Se han calculado 15 resultados por cada participante del cual ha sido obtenido el resultado más pequeño. Se pueden ver todos los scripts en: scripting-optimizacion.txt Animaros y postear aquí vuestras conclusiones de esto.

[Parece ser que los resultados son diferentes dependiendo del procesador y el disco duro. Por ello no entendais estos resultados estrictamente si no como una aproximacion, total nadie pierde ni gana nada. Cualquiera de confianza que quiera poner sus resultados que lo haga poniendo un comentario.] [Tambien he visto que faltan algunos participantes que por lo que sea no han enviado el email, sabed que aun estais a tiempo.]

I Concurso de scripting

Concurso "casero" de scripting y optimización. Sin premio ni nada por el estilo, simplemente nos parecio entretenido (incluso divertido) y lo lanzamos para que cualquiera pueda participar. Esto es para gente, mas bien experimentada, en el lenguaje de Scripting de mIRC del que a veces he hablado aquí.

El concurso consiste en calcular el numero de palabras distintas que tiene un documento txt con 500 lineas (refranes) que proporcionamos nosotros. Todo esto de la forma mas eficiente posible usando trucos o cualquier cosa imaginable con tal de que tarde menos tiempo en procesarlo. Tengo que aclarar que no se trata de contar las palabras si no de contar las palabras distintas que hay, con mas jugo. El resultado correcto 1387 palabras.

Para los interesados imprescindible leer las condiciones en Ampliar.

Con el apoyo del canal #Scripting de IRC-Hispano.org. Racy, Jacobo y gonzo. Gracias a todos.

# El archivo con los 500 refranes sera el mismo para todos y lo puedes descargar aquí: [url=http://www.teoriza.com/refranes.txt]refranes.txt[/url] - 44kb # La forma oficial de medir el tiempo será (hasta que alguien lo mejore):[code]concurso { var %t $ticks AQUI EL CODIGO echo Palabras: 1387 - Tiempo: $calc($ticks - %t) $+ ms }[/code]# Daremos una semana para programarlo y optimizarlo. (atentos a los comentarios de este post para ver como y cuando presentarlo) # Se despreciaran los caracteres como los puntos, comas, interrogaciones, admiraciones, mayusculas, etc... Pero no los acentos. De tal forma que: (Que, == que) (Fin. == fin) (¿si? == si) (qué != que) (Porqué != porque) (QUE == que) # Los resultados finales se calcularan en la misma máquina y en las mismas condiciones, el domingo o sabado, en el pc de alguien o varios que se ofrezcan siempre que a todos nos parezca bien (yo me ofrezco) # En caso de que dos códigos funcionen de la misma forma y el tiempo asi lo demuestre se consideraran empatados. # Los resultados se publicaran en esta misma web el proximo Domingo 5 de Diciembre. # Para fijar un "estandar" y ponerselo fácil al que testee los códigos: - El código sera un alias llamado "/concurso" - El archivo de las frases sera el mismo para todos, con el nombre refranes.txt y situado en el raiz del mIRC. - Los resultados se presentaran en un "/echo" o "/msg $active" con el formato "Palabras: 1387 - Tiempo: Xms" (en cuanto tengamos la cifra correcta la pondre aquí) # Se probaran en un mIRC 6.16 sin dll ni nada por el estilo. # El script debe funcionar bien aunque el archivo refranes.txt sea modificado, ya sea en numero de lineas como el contenido de estas. (pero seguirá siendo el unico valido el oficial) # Se publicará en esta web el ranking completo y probablemente todos los códigos.

Ataques y protecciones de canales en IRC

Analisis sobre los puntos debiles que tienen las redes de IRC, en concreto los canales y la introducción de clones. Va destinado a cualquier usuario de este tipo de chat y que administre algun canal cosa que es bastante habitual, sobre todo a canales con muchos usuarios. Por supuesto esta orientado a la defensa y protección de canales.

Para el que no sepa muy bien de que hablamos me refiero a redes de chat IRC (Internet Relay Chat). Por ejemplo el IRC-Hispano, es mi red habitual y sobre la que me baso para escribir este artículo. Cuando hablo de "clones" me refiero a usuarios falsos utilizados masivamente para abusar del sistema.

Este tipo de redes son muy complejas ya que trabajan con muchos usuarios online, por ejemplo el hispano tiene picos de 35.000 usuarios conectados. Los usuarios son comunicados gracias a unos 27 servidores conectados punto a punto entre sí sin jerarquía. Los usuarios se organizan en canales tematicos y en algunos casos hay 200 o incluso hasta 2000 personas he llegado a ver en un mismo canal. A partir de esta introducción enumerare las formas de atacar un canal entendiendo como ataque cualquier forma de entorpecer la actividad de charlar en un canal o comprometer su estabilidad.

Tipos de ataques:

• Flood: En castellano inundación, consiste en hacer demasiadas acciones en un corto periodo de tiempo con el objetivo de entorpecer o incluso de tirar el sistema afectando a los clientes o a la red de servidores. Todos requieren que sea posible introducir clones en el canal excepto que el objetivo sea un usuario concreto. Tipos de flood:
• join/part: Es el ataque mas habitual consiste en meter y sacar un gran numero de clones muchas veces y en muy corto tiempo.
• msg: Consiste en mandar mensajes (comando /msg) masivos repetitivamente a un canal o un usuario. En el caso del canal es necesario que los clones esten dentro.
• notice y ctcp: Lo mismo que el anterior pero utilizando otro tipo de mensajes menos habituales (/notice y /ctcp).

Formas de protegerse: Aquí empieza lo bueno. Si nunca has experimentado un ataque debo avisarte de que cunde el pánico siempre y se pierden segundos antes de reaccionar. Tras detectar el tipo de ataque hay que actuar:

• Modos +RM: Esto es la solucion mas sencilla y bastante efectiva. Lo que hace es impedir la entrada al canal y enviar mensajes a los usuarios no registrados en la Base de Datos Distribuida (nunca he visto un ataque con nicks registrados, pero todo es posible). La pega que tiene es que en canales grandes no es aceptable la perdida de usuarios reales sin registrar ya que estos no podrán usar el canal. El comando es /mode < #canal> +RM
• Banear los host de los clones: Los clones son lo que son gracias a la utilización de máquinas proxys que permiten ocultar la ip del atacante y saltar la limitación de usuarios por host. Esta forma de actuar consiste en expulsar y bloquear el acceso al canal de los clones baneando su host. Es una buena solución pero se tarda precioso tiempo en efectuarlo y si los clones son demasiados deja de ser una opción razonable. El comando es /mode < #canal> +b *!*@host.de.cada.clon
• Controlar el flujo: Esta opcion creo que es la adecuada para canales muy grandes o de riesgo. Consiste en limitar (modo l) el numero de usuarios que pueden entrar en un canal añadiendo un margen para que puedan entrar unos pocos y actualizando esta condición cada cierto tiempo. Resumiendo controlar las entradas por segundo. Para ello propongo un sencillo alias para mIRC.

Pongamos un ejemplo: Un canal llamado #prueba con 200 usuarios online y alto riesgo de ataques (unos 30 clones). Con lo cual recomendaría dar un margen de 6 usuarios y actualizar el limite cada 10 segundos para que no moleste demasiado. Para ello ejecutar estos dos comandos:

/alias antijoin { mode $1 +l $calc($nick($1,0) + 6) }
/timerANTIJOIN 0 10 antijoin #prueba

Resaltado en negrita los dos parametros que hay que modificar. Para paralo se pone /timerANTIJOIN off. Esto es lo mas sencillo que he podido idear con lo cual esta muy incompleto, por ejemplo en caso de split (desconexion de servidores) hay que desactivarlo para que regresen los usuarios caidos y es muy mejorable. Más adelante publicare un script completo sobre este tema.

Esto es todo por ahora, más adelante escribire sobre esto porque este tema me gusta mucho.

Troyano Infoner (experimental)

Mayo 2001, tras adquirir los conocimientos suficientes de Scripting, empiezo un nuevo proyecto denominado "Infoner". Consiste en un troyano de IRC, o sea, un tipo de virus que tras infectar a la máquina atacada te permite usar sus recursos.

El porqué de crear tal maléfica herramienta no lo tengo muy claro, supongo que por aquella epoca me interesaba todo lo relacionado con poner al límite el protocolo de chat IRC y enredar más que el resto. Qué mejor forma que disponiendo de varias máquinas con las que realizar pruebas. Digo pruebas, no por negar ataques, puesto que jamás he utilizado mis conocimientos para la destrucción, pese a que diseñé la herramienta para tal efecto realmente nunca la utilicé. Las pruebas fueron con mi propia máquina. Creo que programé todo esto por la simple curiosidad y divertimento. Sin más.

Este mensaje tiene adjuntas dos imágenes del programa admin, el cual tiene todas las opciones para manejar tal máquina.

Mis conocimientos sobre sockets por aquella época eran nulos y, solo supe hacerlo mediante el protocolo CTCP (Client To Client Protocol), a base de envíos y eventos CTCP. Empecé buscando DLLs interesantes, y encontré varias. Una, capturaba la pantalla y la guardaba en una imagen jpg; otra, pulsaba teclas; otra, mostraba información de la RAM, CPU, memoria etc. Con estos ingredientes y no muchos más de programación comencé.

Algo que me motivaba mucho era el nuevo descubrimiento de los Dialog. Consisten en todos los controles habituales del entorno grafico de windows: barras de desplazamiento, campos de texto, botones, pestañas, etc... La verdad es que queda fenomenal. Además hacía unos días me recomendaron el Dialog Studio, asi logré hacer un entorno intuitivo e interesante.

Al final, acabé de programar y no sabía qué hacer, obviamente utilizarlo, no. Así que lo que hice fue continuar programando un sistema denominado Act encargado de actualizar online el código de la máquina infectada. Se transfería línea a línea por privado previamente oculto. Esta y todas las acciones resultaban totalmente transparentes, como buen troyano. En realidad todo esto no llegó a más. Pensaba publicarlo por el interés que pueda tener el código pero como no a todo el mundo le interesa enredar en el código, por seguridad, paso de publicarlo.

Esto ha sido todo por hoy. En unos días acabo los exámenes e intentaré hacer esto costumbre diaria.

Panel principal:

Panel de directorios:

Programa denominado Act encargado de actualizar el Infoner: