Post by Boricuas Online on Apr 22, 2005 7:20:03 GMT -5
Flood Clones y "Spoofing"
Si un usuario reclama de haber sido atacado por abundancia de texto excesiva (flood), usted debe preguntar por los nicknames que están involucrados y los logs. Examine el Log y después haga un /who, /whois o /whowas en los involucrados. También, use el comando /stats I nickname para ver el sendq y el recvq de una persona en particular. Generalmente si el resultado del /stats I no son no naturalmente altos, y/o usted encuentra clones desde el hostname del involucrado, el usuario que reportó la queja dice la verdad, y se debe tomar acción de inmediato.
Los clones son múltiples clientes desde una misma persona. La mayoría de los servidores definen a esto como una múltiple conexión desde la misma máscara del host (marcando user@*host) Además muchas veces alguien está usando múltiples clientes desde diferentes dominios, esto son también considerados clones.
Generalmente, clonarse a uno mismo no es nada malo (solamente teniendo buena conexión). Sin embargo, cuando usted frecuentemente ve clones, estos están siendo usados para producir el exceso de flood en un canal o haciendo una toma de un canal (takeover).
El mejor acercamiento para hacerse cargo de los clones es hacerle un Kill, y fijarse si retornan. Si usted hace esto un par de veces, y el usuario insiste en quedarse con los clones, es tiempo para un K:line. A menos que el usuario sea constantemente problemático, hay que hacerle K:line al clon que debería ser relativamente temporario (pocas semanas sería suficiente)
Usted verá dos tipos de forma de flood de texto en el IRC. El primer flood es mediante el CTPC, el cual el usuario atenta hacer flood de texto en el servidor mediante respuestas del CTCP, tratando de hacer quebrar la protección hacia flood de texto que posee el servidor, y hacer caer al usuario con el mensaje de “Excess Flood”. Algunos bots de redes (llamados “floodnets”) usan este tipo de flood de texto. Algunos script traen protección de flood de texto muy efectiva y los usuarios pueden prevenir ser desconectados, pero el verdadero problema es el impacto en la red. Si 20 bots hacen flood de texto a un usuario durante 10 segundos, enviándole cinco veces 100 byte de CTCP por segundo, esto es 20 * 100 * 5 = 10k/seg., o 100k de información total sobre 10 segundos, cuando una red está manteniendo 30000 usuarios y tiene este tipo de flood, ésta actividad no es nada aceptable.
El segundo tipo de flood, es el que no está relacionado con el IRC (pero es frecuentemente el resultado de conflictos en el IRC), este es ICMP. Este usualmente se da desde un razonable link ligero (ISDN o más alto) y consiste en hacerle una abundancia de flood de texto a un usuario o servidor con paquetes de ICMP (como un simple ping). Esto es considerado un ataque llamado “Denial Of Service” o DDoS y esto vá en contra de la ley.
Hay bastantes scripsts de flood de texto que se consiguen ahora mismo, y un par de estos poseen según se supone “randmon” nicknames (nicks casuales) que son usados para enviar CTCP en abundancia. Algunos clones tienen también scripts de flood de texto para entrar a canales específicos a floodear.
Los operadores del IRC normalmente están habilitados para ver los usuarios que están invisibles (+i) (es una característica de la configuración de un servidor) y por este motivo, encontrar clones no es nada difícil (/who hostname). Usted puede hacer un gline y deshacerse de los clones (hay redes donde todo gline de más de 24 horas debe ser reportado. Aparte de esto, sería una buena idea también de escribir una carta al ISP de los ofensores para quejarse y preguntarles a ellos qué acciones ellos harán en contra de los involucrados en tal acción. Si es un problema repetido de la misma persona o muchas personas desde el mismo ISP, si carta tendría que incluir una advertencia que si muchos de sus usuarios son encontrados abusando el dominio entero tendrá prohibición de entrada.
No hay maneras seguras de determinar nada en la situación mencionada arriba. Haga lo que usted sienta es lo correcto y no dude en preguntar a otros operadores qué opinan ellos al respecto. Acuérdese que usted será EL responsable si usted de repente hace un gline a alguien sin una razón apropiada. Si un usuario reporta alguna cosa que no es directamente abuso, pero no es permitido en un servidor específico, usted tendría que pasar el problema a un operador del IRC dentro de ese servidor específico.
DNS spoofing es un ataque también en el IRC. Usted encontrará este spoofs generalmente de una u otra manera: Usted está viendo la conexión y una inusual máscara del host aparece, o un usuario reporta uno. Lo primero que hay que hacer es conseguir la dirección de IP del usuario (/stats L nick), y chequear si el DNS coincide con la dirección de IP. Si esto no concuerda entonces usted sabe que posee un spoof. Con esta información, usted puede hacerle Kill al spoof, y cuando éste se reconecta, fijarse en su verdadero host y entonces darle un K:line (esto no significa que parará a los usuarios de hacer spoofing de nuevo, pero prevendrá a los usuarios de conectarse *SIN* el spoofing).
Si un usuario reclama de haber sido atacado por abundancia de texto excesiva (flood), usted debe preguntar por los nicknames que están involucrados y los logs. Examine el Log y después haga un /who, /whois o /whowas en los involucrados. También, use el comando /stats I nickname para ver el sendq y el recvq de una persona en particular. Generalmente si el resultado del /stats I no son no naturalmente altos, y/o usted encuentra clones desde el hostname del involucrado, el usuario que reportó la queja dice la verdad, y se debe tomar acción de inmediato.
Los clones son múltiples clientes desde una misma persona. La mayoría de los servidores definen a esto como una múltiple conexión desde la misma máscara del host (marcando user@*host) Además muchas veces alguien está usando múltiples clientes desde diferentes dominios, esto son también considerados clones.
Generalmente, clonarse a uno mismo no es nada malo (solamente teniendo buena conexión). Sin embargo, cuando usted frecuentemente ve clones, estos están siendo usados para producir el exceso de flood en un canal o haciendo una toma de un canal (takeover).
El mejor acercamiento para hacerse cargo de los clones es hacerle un Kill, y fijarse si retornan. Si usted hace esto un par de veces, y el usuario insiste en quedarse con los clones, es tiempo para un K:line. A menos que el usuario sea constantemente problemático, hay que hacerle K:line al clon que debería ser relativamente temporario (pocas semanas sería suficiente)
Usted verá dos tipos de forma de flood de texto en el IRC. El primer flood es mediante el CTPC, el cual el usuario atenta hacer flood de texto en el servidor mediante respuestas del CTCP, tratando de hacer quebrar la protección hacia flood de texto que posee el servidor, y hacer caer al usuario con el mensaje de “Excess Flood”. Algunos bots de redes (llamados “floodnets”) usan este tipo de flood de texto. Algunos script traen protección de flood de texto muy efectiva y los usuarios pueden prevenir ser desconectados, pero el verdadero problema es el impacto en la red. Si 20 bots hacen flood de texto a un usuario durante 10 segundos, enviándole cinco veces 100 byte de CTCP por segundo, esto es 20 * 100 * 5 = 10k/seg., o 100k de información total sobre 10 segundos, cuando una red está manteniendo 30000 usuarios y tiene este tipo de flood, ésta actividad no es nada aceptable.
El segundo tipo de flood, es el que no está relacionado con el IRC (pero es frecuentemente el resultado de conflictos en el IRC), este es ICMP. Este usualmente se da desde un razonable link ligero (ISDN o más alto) y consiste en hacerle una abundancia de flood de texto a un usuario o servidor con paquetes de ICMP (como un simple ping). Esto es considerado un ataque llamado “Denial Of Service” o DDoS y esto vá en contra de la ley.
Hay bastantes scripsts de flood de texto que se consiguen ahora mismo, y un par de estos poseen según se supone “randmon” nicknames (nicks casuales) que son usados para enviar CTCP en abundancia. Algunos clones tienen también scripts de flood de texto para entrar a canales específicos a floodear.
Los operadores del IRC normalmente están habilitados para ver los usuarios que están invisibles (+i) (es una característica de la configuración de un servidor) y por este motivo, encontrar clones no es nada difícil (/who hostname). Usted puede hacer un gline y deshacerse de los clones (hay redes donde todo gline de más de 24 horas debe ser reportado. Aparte de esto, sería una buena idea también de escribir una carta al ISP de los ofensores para quejarse y preguntarles a ellos qué acciones ellos harán en contra de los involucrados en tal acción. Si es un problema repetido de la misma persona o muchas personas desde el mismo ISP, si carta tendría que incluir una advertencia que si muchos de sus usuarios son encontrados abusando el dominio entero tendrá prohibición de entrada.
No hay maneras seguras de determinar nada en la situación mencionada arriba. Haga lo que usted sienta es lo correcto y no dude en preguntar a otros operadores qué opinan ellos al respecto. Acuérdese que usted será EL responsable si usted de repente hace un gline a alguien sin una razón apropiada. Si un usuario reporta alguna cosa que no es directamente abuso, pero no es permitido en un servidor específico, usted tendría que pasar el problema a un operador del IRC dentro de ese servidor específico.
DNS spoofing es un ataque también en el IRC. Usted encontrará este spoofs generalmente de una u otra manera: Usted está viendo la conexión y una inusual máscara del host aparece, o un usuario reporta uno. Lo primero que hay que hacer es conseguir la dirección de IP del usuario (/stats L nick), y chequear si el DNS coincide con la dirección de IP. Si esto no concuerda entonces usted sabe que posee un spoof. Con esta información, usted puede hacerle Kill al spoof, y cuando éste se reconecta, fijarse en su verdadero host y entonces darle un K:line (esto no significa que parará a los usuarios de hacer spoofing de nuevo, pero prevendrá a los usuarios de conectarse *SIN* el spoofing).