Système antiproxy

[Epsilon]

Bonjour,

Je souhaite aussi discuter des systèmes antiproxy efficace contre les malfaiteurs qui voudront foutre le boxon (commme c'est connu depuis la naissance d'IRC) sur votre IRCd.

Je voulais connaitre les différents systèmes en place et efficace et avec explication/config si possible.

Je fais encore appel à vos expériences

Merci

[CrazyCat]

Il existe Hybrid Open-Proxy Monitor
La configuration est relativement simple, il faut surtout faire attention à la directive connregex qui est l'expression régulière pour détecter les connexions au serveur IRC.
Ensuite, il y a une série de blocs blacklist qui permettent de définir quels dnsbl tu vas interroger et les actions à effectuer.
Et encore ensuite, tu as le bloc scanner dans lequel tu indiques les protocoles et ports à tester pour savoir si la machine de l'utilisateur est potentiellement à risque ou pas.

Note: dans anope, il y a aussi un module "m_dnsbl" (https://wiki.anope.org/index.php/2.0/Modules/m_dnsbl) mais il nécessite de démarrer anope en root.

[Epsilon]

Niquel merci , j'ai pu mettre ça en place !

[Epsilon]

Je reviens vers pour l'optimisation de ma conf sur HOPM :

J'ai vraiment besoin de vous pour élargir mes dnsbl et mes ports scanner , il en a qui vire pas mal mais il y en a quand même qui passe , si vous pouvez m'aider à optimiser la conf, si vous voyez une erreur , merci de m'en faire part !

[CrazyCat]

Question bête: qu'est-ce qui te fait dire que c'est hopm qui est en faute, et pas les dnsbl qui n'ont pas (encore) l'IP dans leur base de malveillants ?
Comment testes-tu ?

[Epsilon]

Je ne teste pas moi même, ce sont des gens qui me lance des attaques ..

[CrazyCat]

Et donc, je repose ma question différement: les IP utilisées par ces attaquants sont-elles listées sur les black list ou pas ?

[aliasangelius]

Salut,

Ce que @CrazyCat veut te dire, c'est les ip sont-il listé sur les sites en question.

Exemple :

dronebl.org - sorbs.net - bl.blocklist.de - rbl.efnet.org

[Epsilon]

Salut,

Non apparamment ils ne sont pas dnsbl vu que j'ai pas de retour sur ses ips sur le salon de log.

Il y a moyen de crée une blacklist ? ou d'avoir un service supplementaire?

Mettre en place des modules comme m_ramdom pour interdire les idents aléatoire qui c'est avéré très efficace, tout est bon à prendre pour perfectionné !

[aliasangelius]

Eva par exemple ?

[CrazyCat]

Salut,

Non apparamment ils ne sont pas dnsbl vu que j'ai pas de retour sur ses ips sur le salon de log.

Il y a moyen de crée une blacklist ? ou d'avoir un service supplementaire?

Mettre en place des modules comme m_ramdom pour interdire les idents aléatoire qui c'est avéré très efficace, tout est bon à prendre pour perfectionné !

J'ai tout de même du mal à croire que ton serveur soit aussi attaqué que ça.
Ensuite, si tu veux faire une blacklist, tu peux ajouter des zline ou des gline, ou des ban dans la configuration d'unreal.

De toutes manières, dis-toi bien que les proxy, il y en a toujours qui passeront. Mais à trop blinder, tu risques d'empêcher les utilisateurs normaux d'accéder à ton serveur.

[Strategy]

Bonjour,

Les DNSBL sont un peut dépassées pour les 3/4 nombreux faux positifs avec des connexions 3/4G non compatibilité avec les ipv6 enfin c'est pas top.

Pour les attaques de clones il faut savoir que ce sont souvent ce que l'on appels des kiddie's qui attaquent les serveurs IRC ces personnes on fait une simple recherche google et trouvé un script qu'une autre personne a concut presque tous ne savent pas écrire une ligne de code donc souvent les mêmes clonneurs avec les mêmes défauts qui reviennent régulièrement et sont facilement bloquables avec les 2 solutions ci-dessous.

- Bloquer les clients IRC qui ne répondent pas aux CTCP versions
- Bloquer les clonneurs avec des regex RLINE sur InspIRCD ou le spamfilter avec le type u sur UnrealIRCD

Pour le reste des proxies et VPN il est simplement impossible de tout bloquer mais tu peut embêter les utilisateurs.

- Une bonne black liste que j'utilise c'est stopforumspam
- Des bans par géolocalisations (Russie, chine, japon ...)
- Pour pousser plus loins tu peux vérifier si les ips répondent au pings et contrôler certains ports ouverts (Attention cette technique peut faire du faux positifs)

Bon courage a toi

[Epsilon]

Bonjour,

Merci Strategy pour ce commentaire.

- Bloquer les clonneurs avec des regex RLINE sur InspIRCD ou le spamfilter avec le type u sur UnrealIRCD

Peut tu nous faire un exemple pour unrealircd ?

[Strategy]

Hé ben

sur unrealircd je me rappel plus la syntaxe elle doit ressembler a quelque chose comme

pseudo!ident@host:realname

Imagines un clonneur qui connecte des utilisateurs du genre

5hkfdy!H5633@blahblahblah:tjsl
8sdkjj!G2587@blahblahblah:lsyr
9fksyl!K6987@blahblahblah:ptso

tu peux bloquer quelque chose comme

[0-9][a-z]{4}![A-Z][1-9]{4}@[\x20-\x7E]{10,100}:[a-z]{4}

avec le type u du spamfilter a partir de la le clonneur est complètement bloqué

Voila un cours sur les regexs

https://openclassrooms.com/courses/conce...partie-1-2
https://openclassrooms.com/courses/conce...rtie-2-2-2

c'est du PHP mais je trouve ca bien expliqué et les regex c'est pareil dans tout les langages de programmations

Si t'est sous InspIRCD tu peux utiliser un service que j'ai réalisé pour mon serveur il utilise tout les éléments que je t'ai donné dans le post précédent

https://github.com/Discutea/DiscuteaServices

je pense le rendre compatible pour UnrealIRCD dans quelques mois.

[Epsilon]

Ca serait cool si quelqu'un pouvait mettre un snippet la dessus avec tout les cas d'attaque et leurs regexp.

Ca aiderait pas mal de monde.