IRCچیست ؟

تحقیق : IRCچیست ؟ ( درباره ی آن تحقیق کنید  .)

• IRCیک کانال چت است و دارای سبک خاصی است . Applicationهای IRCرا روی سیستم نصب می کنید. سایت های مختلف کانال های چت خودشان را ارائه می دهند . مثلا Packetstormچت خودش را ارائه می دهد و یا سایت governmentsecurity.orgکه یکی از پراستفاده ترین IRCها است .
• در این کانال ها می توان به تبادل اطلاعات پرداخت .اما یک سری از افراد نیز به دنبال قربانی (Zombie) می گردند . از آن هایی که IRCبه غیر از چت امکانات زیادی دارد و ممکن است کاربر آن هر چیزی را install کند به همین دلیل برخی از کاربران به راحتی می توانند قربانی شوند سیستم شان Zombie شود و خودشان هم متوجه نخواهند شد . چون Zombie یک برنامه کوچکی می تواند باشد که منتظر دستور می ماند تا یک عملی را انجام دهد . به مجموعه ی سیستم هایی که Zombieمی شوند بات نت (botnet)می گویند .
• بدین ترتیب که هکر با قرار دان یک Robotدر کانال های چت قربانیان خود را یافته و از آن ها به عنوان سیستم واسطه استفاده می کند .

شکل 17

• شکل 17 نشان دهنده چنین حمله ای است . لزوما نیاز به چت سرور نیست . بلکه می توان یک وب سرور را آلوده کرد که روی آن هم مثلا 500 سایت قرار گرفته است . حال با قراردادن یک کد کوچک در این 500 سایت باعث می شود که در زمان دیدن آن سایت ، کد پنهان شده اجرا شود و کامپیوترتان آلوده شود . سایت مایکروسافت به همین روش downشده بود .
• حملات DDoSاشکال گوناگونی داشته و شیوه های انتشار آن ها متفاوت می باشد .
• بزرگترین حملات DDoSدر سال های 2002 و 2007 علیه root serverهای شبکه اینترنت انجام گرفته است ( منظور DNS Serverها هستند DNS Serverها ساختار سلسله مراتبی دارند و در نهایت به 13 Root Serverمی رسد . این 13 سرور در مناطق خاصی از دنیا قرار گرفته اند و عملا ارائه دهنده و Updateکننده نام ها هستند . یکی از آنها 2.2.4است که برای Sun می باشد .
• خرابکاران از شبکه های Botnetبه منظور تبلیغات و یا مبارزه های تجاری استفاده می کنند و یک botnetبا 20000 زامبی ، حدود 2000 دلار معامله می شود .
• طبق گزارش FBI ، یکی از پرخسارت ترین حمله ها همین نوع حملات هستند ( شکل 18)

• با توجه به اینکه IRC Serverها از پورت 6667 استفاد می کنند ، پس برقرار بودن اتصال ناخواسته با این پورت از کامپیوتر شما میتواند نشانگر این باشد که سیستم شما به یک زامبی تبدیل شده است . پورت سرور 6667 است ، که اگر عوض کند ، دیگر clientنمی تواند به آن وصل شود . اگر روی سیستم خود دستور netstat را اجرا کردید و دیدید که یک ارتباط ESTABLISHEDبا پورت 6667 دارید و الان در حال استفاده از IRCنیستید، میتوانید احتمال مورد حمله قرار گرفتن را بدهید.
• برای فهمیدن اینکه چه پورت هایی در حال استفاده هستند و بعد نشان دادن واکنش می توان از فایروال و تعریف قوانین در آن استفاده کرد و یا می توان با استفاه از ابزارها و دستوراتی فهمید که چه برنامه هایی در حال استفاده از چه پورت هایی هستند . در لینوکس دستور lsof (List open files) وجود دارد که نشان می­دهد چه فایل هایی (Local file , Socket file )در چه برنامه هایی در حال استفاده هستند . حال نگاه می کنیم اگر آن برنامه معتبر بود که هیچ و اگر نامعتبر بود می توان آن Processرا Killکرد. همچنین می توان آن را Killنکرد و بررسی کرد که آن برنامه درحال انجام چه کاری و یا در حال ارسال چه داده هایی است.
• در مقابله با حملات DDOSکه به صورت حرفه ای انجام می شوند خیلی جلوگیری نمی توان کرد. کارهایی مثل افزایش پهنای باند ، load balancing، تشخیص الگوهای حمله و تشخیص bottleneck نیز می­توانند انجام گیرند.