Autore: PUOJACKZ Data: 2005-12-28 Modificato: Documento non modificato Letture: 1730 Torna indietro

Un mIRKfORCE è un particolare tipo di attacco indirizzato specificatamente ai server IRC ed è stato sviluppato, originariamente, per OS Linux.
Principalmente la routine di attività si basa sui seguenti punti:

- In una LinuxBox compromessa (eventualmente sfruttando gli exploit descritti nei BugTraq delle varie distribuzioni dell'OS), si ottiene lo status "Root".

- Si avvia il software per effettuare il mIRKfORCE.

- Il programma effettua un Harvesting di tutti gli IP non assegnati, presenti nella sottorete ove il Box compromesso è presente (solitamente, si tende a controllare la /24).
Non avrebbe alcun senso hackare un server che sfrutta una connessione Dial-Up, ove l'IP viene assegnato dal DHCP, in quanto, si potrebbe creare, al massimo 1 drone.

- Il programma crea degli aliases virtuali nell'interfaccia principale, in modo da permettere la gestione degli IP ottenuti, in modo centralizzato.

- Il programma, se avviato, crea nº connessioni simulate (su ogni IP ottenuto), indirizzando queste verso uno o più indirizzi relativi alle reti IRC da colpire. Di norma, durante la simulazione delle connessioni, la comunicazione con il server IRC vittima avviene via RAW, pertanto, se non vengono aggiunti altri tools specifici, i cloni (o droni) generati non rispondono ai segnali PING inviati dal server.
In alcuni casi, tramite eventuali programmi indipendenti appositi, è possibile sfruttare tale sistema di attacco anche come componente per eventuali attacchi DDoS pianificati.

Che differenza c'è tra un mIRKfORCE e un attacco di cloni?

La differenza tra un mIRKfORCE ed un semplice attacco di cloni sta proprio nella definizione di "clone". Di norma, per clone, s'intendono tutte quelle connessioni collegate al medesimo servizio, provenienti dalla stessa origine.
Un'attività di cloning banale può essere prodotta collegando, ad un server IRC, più IRC client tutti avviati dallo stesso PC (e percui tutti identificati con lo stesso IP).
Questi, al contrario del mIRKfORCE, oltre all'identità uguale, sono spesso creati tramite programmi specifici per IRC e quindi, ad esempio, rispondono ai PING inviati dal server ove sono connessi.
Un mIRKfORCE nasce dal concetto di attacco flood contro un server IRC o un utente, pertanto, per raggiungere tale fine, i droni possono benissimo tralasciare eventuali routines aggiuntive, come quelli che mantengono la connessione attiva. Quando viene effettuato questo tipo di harrasing, l'autore non si cura se i droni rimangono connessi, bensì sfrutta il fattore "Connect/Join di massa" allo scopo di impegnare più banda possibile al server IRC o al client, impendendo, quindi, che il PING raggiunga i propri obbiettivi velocemente. Ciò è causa di disconnessioni per Ping timeout (in caso di un client) oppure di Netsplit (in caso di server IRC) che impediscono il regolare svolgimento delle discussioni.

Perchè sono una minaccia per i server IRC?

Il mIRKfORCE viene eseguito, solitamente, non solo per generare problemi agli amministratori dei singoli servers IRC (a causa dell'inutile carico generato dai cloni), ma anche per floodare canali (con Join/Part) o utenti della rete. Questo tipo di attacco è considerato, più che distruttivo, pesantemente noioso in quanto, come azioni concrete non ci sono DoS o DDoS, ma solo lo sfruttamento del sistema "Liveness" descritto dal protocollo IRC, per costringere alla disconnessione gli utenti e generare carichi inutili ai servers IRC, ed, in genere, per rendere impossibile la discussione.