home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / gtmhh / gtmhh4-1.txt < prev    next >
Encoding:
Text File  |  2002-01-31  |  19.4 KB  |  403 lines
  1. ___________________________________________________________
  2.  
  3. GUIDE TO (mostly) HARMLESS HACKING
  4.  
  5. Vol 4 No. 1: The "MORE" series
  6.  
  7. MORE on Hacker Wars on Internet Relay Chat (IRC)
  8. ____________________________________________________________
  9.  
  10. Our thanks to Patrick Rutledge, Warbeast, Meltdown and k1neTiK, who all
  11. provided invaluable information on the burning question of the IRC world:
  12. help, they're nuking meee...
  13.  
  14.     What's the big deal about IRC and hackers? Sheesh, IRC is sooo easy to
  15. use... until you get on a server where hacker wars reign. What the heck do
  16. you do to keep from getting clobbered over and over again?
  17.  
  18.     Of course you could just decide your enemies can go to heck. But let's
  19. say
  20. you'd rather hang in there. You may want to hang in there because if you
  21. want to make friends quickly in the hacker world, one of the best ways is
  22. over Internet Relay Chat (IRC). 
  23.  
  24.     On IRC a group of people type messages back and forth on a screen in
  25. almost
  26. real time. It can be more fun than Usenet where it can take from minutes to
  27. hours for people's replies to turn up. And unlike Usenet, if you say
  28. something you regret, it's soon gone from the screen. Ahem. That is, it will
  29. soon be gone if no one is logging the session.
  30.  
  31.     In some ways IRC is like CB radio, with lots of folks flaming and
  32. making
  33. fools of themselves in unique and irritating ways. So don't expect to see
  34. timeless wisdom and wit scrolling down your computer screen. But because IRC
  35. is such an inexpensive way for people from all over the world to quickly
  36. exchange ideas, it is widely used by hackers. Also, given the wars you can
  37. fight for control of IRC channels, it can give you a good hacker workout.
  38.  
  39.     To get on IRC you need both an IRC client program and you need to
  40. connect
  41. to a Web site or Internet Service Provider (ISP) that is running an IRC
  42. server program. 
  43.  
  44. ***********************
  45. Newbie note: Any program that uses a resource is called a "client."  Any
  46. program that offers a resource is a "server."  Your IRC client program runs
  47. on either your home computer or shell account computer and connects you to
  48. an IRC server program which runs on a remote computer somewhere on the
  49. Internet.
  50. ***********************
  51.  
  52.     You may already have an IRC server running on your ISP. Customer
  53. service at
  54. your ISP should be able to help you with instructions on how to use it. Even
  55. easier yet, if your Web browser is set up to use Java, you can run IRC
  56. straight from your browser once you have surfed into a Web-based IRC server.
  57.  
  58.     Where are good IRC servers for meeting other hackers?
  59.  
  60.     There are several IRC servers that usually offer hacker channels. EFNet
  61. (Eris-Free Network)links many IRC servers. It was originally started by the
  62. Eris FreeNet (ef.net). It is reputed to be a "war ground" where you might
  63. get a chance to really practice the IRC techniques we cover below. 
  64.  
  65.     Undernet is one of the largest networks of IRC servers. The main
  66. purpose of
  67. Undernet is to be a friendly place with IRC wars under control. But this
  68. means, yes, lots of IRC cops! The operators of these IRC servers have
  69. permission to kill you not only from a channel but also from a server. Heck,
  70. they can ban you for good. They can even ban your whole domain. 
  71.  
  72. ************************************
  73. Newbie note: A domain is the last two (or sometimes three or four) parts of
  74. your email address. For example, aol.com is the domain name for America
  75. Online. If an IRC network were to ban the aol.com domain, that would mean
  76. every single person on America Online would be banned from it.
  77. ************************************
  78.  
  79. ************************************
  80. You can get punched in the nose warning: If the sysadmins at your ISP were
  81. to find out that you had managed to get their entire domain banned from an
  82. IRC net on account of committing ICMP bombing or whatever, they will be
  83. truly mad at you! You will be lucky if the worst that happens is that you
  84. lose your account. You'd better hope that word doesn't get out to all the
  85. IRC addicts on your ISP that you were the dude that got you guys all kicked
  86. out.
  87. ************************************
  88.  
  89.     IRCNet is probably the same size if not larger than Undernet. IRCNet is
  90. basically the European/Australian split off from the old EFNet. 
  91.  
  92.     Yes, IRC is a world-wide phenomenon. Get on the right IRC network and
  93. you
  94. can be making friends with hackers on any continent of the planet. There are
  95. at least 80 IRC networks in existence. To learn how to contact them, surf
  96. over to: http://www.irchelp.org/. You can locate additional IRC servers by
  97. surfing over to http://hotbot.com or http://digital.altavista.com and
  98. searching for "IRC server."  Some IRC servers are ideal for the elite
  99. hacker, for example the l0pht server. Note that is a "zero" not an "O" in
  100. l0pht.
  101.  
  102. ****************************************
  103. Evil genius tip: Get on an IRC server by telneting straight in through port
  104. 6667 at the domain name for that server.
  105. ****************************************
  106.  
  107.     But before you get too excited over trying out IRC, let us warn you.
  108. IRC is
  109. not so much phun any more because some d00dz aren't satisfied with using it
  110. to merely say naughty words and cast aspersions on people's ancestry and
  111. grooming habits. They get their laughs by kicking other people off IRC
  112. entirely. This is because they are too chicken to start brawls in bars. So
  113. they beat up on people in cyberspace where they don't have to fret over
  114. getting ouchies.
  115.  
  116.     But we're going to show some simple, effective ways to keep these
  117. lusers
  118. from ruining your IRC sessions. However, first you'll need to know some of
  119. the ways you can get kicked off IRC by these bullies.
  120.  
  121.     The simplest way to get in trouble is to accidentally give control of
  122. your
  123. IRC channel to an impostor whose goal is to kick you and your friends off.
  124.  
  125.     You see, the first person to start up a channel on an IRC server is
  126. automatically the operator (OP). The operator has the power to kick people
  127. off or invite people in. Also, if the operator wants to, he or she may pass
  128. operator status on to someone else. 
  129.  
  130.     Ideally, when you leave the channel you would pass this status on to a
  131. friend your trust. Also, maybe someone who you think is your good buddy is
  132. begging you to please, please give him a turn being the operator. You may
  133. decide to hand over the OP to him or her in order to demonstrate friendship.
  134. But if you mess up and accidentally OP a bad guy who is pretending to be
  135. someone you know and trust, your fun chat can become history.
  136.  
  137.     One way to keep this all this obnoxious stuff from happening is to
  138. simply
  139. not OP people you do not know. But this is easier said than done. It is a
  140. friendly thing to give OP to your buddies. You may not want to appear stuck
  141. up by refusing to OP anyone. So if you are going to OP a friend, how can you
  142. really tell that IRC dude is your friend?
  143.  
  144.     Just because you recognize the nick (nickname), don't assume it's who
  145. you
  146. think it is! Check the host address associated with the nick by giving the
  147. command "/whois IRCnick" where "IRCnick" is the nickname of the person you
  148. want to check.  
  149.  
  150.     This "/whois" command will give back to you the email address belonging
  151. to
  152. the person using that nick. If you see, for example, "d***@wannabe.net"
  153. instead of the address you expected, say friend@cool.com, then DO NOT OP
  154. him.  Make the person explain who he or she is and why the email address is
  155. different.
  156.  
  157.     But entering a fake nick when entering an IRC server is only the
  158. simplest
  159. of ways someone can sabotage an IRC session. Your real trouble comes when
  160. people deploy "nukes" and "ICBMs" against you.
  161.  
  162.     "Nuking" is also known as "ICMP Bombing." This includes forged messages
  163. such as EOF (end of file), dead socket, redirect, etc.
  164.  
  165. **************************************
  166. Newbie note: ICMP stands for Internet Control Message Protocol. This is an
  167. class of IRC attacks that go beyond exploiting quirks in the IRC server
  168. program to take advantage of major league hacking techniques based upon the
  169. way the Internet works.
  170. **************************************
  171. **************************************
  172. You can go to jail warning: ICMP attacks constitute illegal denial of
  173. service attacks. They are not just harmless harassment of a single person on
  174. IRC, but may affect an entire Internet host computer, disputing service to
  175. all who are using it.
  176. ***************************************
  177.  
  178.     For example, ICMP redirect messages are used by routers to tell other
  179. computers "Hey, quit sending me that stuff. Send it to routerx.foobar.net
  180. instead!" So an ICMP redirect message could cause your IRC messages to go to
  181. bit heaven instead of your chat channel. 
  182.  
  183.     EOF stands for "end of file." "Dead socket" refers to connections such
  184. as
  185. your PPP session that you would be using with many IRC clients to connect to
  186. the Internet. If your IRC enemy spoofs a message that your socket is dead,
  187. your IRC chat session can't get any more input from you.  That's what the
  188. program "ICMP Host Unreachable Bomber for Windows" does.
  189.  
  190.     Probably the most devastating IRC weapon is the flood ping, known as
  191. "ICBM
  192. flood or ICMPing." The idea is that a bully will find out what Internet host
  193. you are using, and then give the command "ping-f" to your host computer. Or
  194. even to your home computer. Yes, on IRC it is possible to identify the
  195. dynamically assigned IP address of your home computer and send stuff
  196. directly to your modem! If the bully has a decent computer, he or she may be
  197. able to ping yours badly enough to briefly knock you out of IRC. Then this
  198. character can take over your IRC session and may masquerade as you. 
  199.  
  200. **********************
  201. Newbie note: When you connect to the Internet with a point-to-point (PPP)
  202. connection, your ISP's host computer assigns you an Internet Protocol (IP)
  203. address which may be different every time you log on. This is called a
  204. "dynamically assigned IP address." In some cases, however, the ISP has
  205. arranged to assign the uses the same IP address each time.
  206. **********************
  207.  
  208.     Now let's consider in more detail the various types of  flooding
  209. attacks on
  210. IRC.
  211.  
  212.     The purpose of flooding is to send so much garbage to a client that its
  213. connection to the IRC server either becomes useless or gets cut off.
  214.  
  215.     Text flooding is the simplest attack. For example, you could just hold
  216. down
  217. the "x" key and hit enter from time to time. This would keep the IRC screen
  218. filled with your junk and scroll the others' comments quickly off the
  219. screen. However, text flooding is almost always unsuccessful because almost
  220. any IRC client (the program you run on your computer) has text flood
  221. control. Even if it doesn't, text must pass through an IRC server. Most IRC
  222. servers also have text flood filters. 
  223.  
  224.     Because text flooding is basically harmless, you are unlikely to suffer
  225. anything worse than getting banned or possibly K:lined for doing it. 
  226.  
  227. ******************************************
  228. Newbie note: "K:line" means to ban not just you, but anyone who is in your
  229. domain from an IRC server. For example, if you are a student at Giant State
  230. University with an email address of IRCd00d@giantstate.edu, then every
  231. person whose email address ends with "giantstate.edu" will also be banned.
  232. *******************************************
  233.  
  234.     Client to Client Protocol (CTCP) echo flooding is the most effective
  235. type
  236. of flood. This is sort of like the ping you send to determine whether a host
  237. computer is alive. It is a command used within IRC to check to see if
  238. someone is still on your IRC channel. 
  239.  
  240.     How does the echo command work? To check whether someone is still on
  241. your
  242. IRC channel, give the command "/ctcp nick ECHO hello out there!" If "nick"
  243. (where "nick" is the IRC nickname of the person you are checking out) is
  244. still there, you get back "nick HELLO OUT THERE."
  245.  
  246.     What has happened is that your victim's IRC client program has
  247. automatically echoed whatever message you sent. 
  248.  
  249.     But someone who wants to boot you off IRC can use the CTCP echo command
  250. to
  251. trick your IRC server into thinking you are hogging the channel with too
  252. much talking. This is because most IRC servers will automatically cut you
  253. off if you try text flooding.
  254.  
  255.     So CTCP echo flooding spoofs the IRC into falsely cutting someone off
  256. by
  257. causing the victim's IRC client to automatically keep on responding to a
  258. whole bunch of echo requests.
  259.  
  260.     Of course your attacker could also get booted off for making all those
  261. CTCP
  262. echo requests.  But a knowledgeable attacker will either be working in
  263. league with some friends who will be doing the same thing to you or else be
  264. connected with several different nicks to that same IRC server. So by having
  265. different versions of him or herself in the form of software bots making
  266. those CTCP echo requests, the attacker stays on while the victim gets booted
  267. off. 
  268.  
  269.     This attack is also fairly harmless, so people who get caught doing
  270. this
  271. will only get banned or maybe K:lined for their misbehavior.
  272.  
  273. ******************************
  274. Newbie note: A "bot" is a computer program that acts kind of like a robot to
  275. go around and do things for you. Some bots are hard to tell from real
  276. people. For example, some IRC bots wait for someone to use bad language and
  277. respond to these naughty words in annoying ways.
  278. *************************************
  279.  
  280. *************************************
  281. You can get punched in the nose warning:  Bots are not permitted on the
  282. servers of the large networks. The IRC Cops who control hacker wars on these
  283. networks love nothing more than killing bots and banning the botrunners that
  284. they catch.
  285. **************************************
  286.  
  287.     A similar attack is CATCH ping. You can give the command "/ping nick"
  288. and
  289. the IRC client of the guy using that nick would respond to the IRC server
  290. with a message to be passed on to the guy who made the ping request saying
  291. "nick" is alive, and telling you how long it took for nick's IRC client
  292. program to respond. It's useful to know the response time because sometimes
  293. the Internet can be so slow it might take ten seconds or more to send an IRC
  294. message to other people on that IRC channel. So if someone seems to be
  295. taking a long time to reply to you, it may just be a slow Internet.
  296.  
  297.     Your attacker can also easily get the dynamically assigned IP (Internet
  298. protocol) address of your home computer and directly flood your modem. But
  299. just about every Unix IRC program has at least some CATCH flood protection
  300. in it. Again, we are looking at a fairly harmless kind of attack.
  301.  
  302.     So how do you handle IRC attacks? There are several programs that you
  303. can
  304. run with your Unix IRC program. Examples are the programs LiCe and Phoenix.
  305. These scripts will run in the background of your Unix IRC session and will
  306. automatically kick in some sort of protection (ignore, ban, kick) against
  307. attackers.  
  308.  
  309.     If you are running a Windows-based IRC client, you may assume that like
  310. usual you are out of luck. In fact, when I first got on an IRC channel
  311. recently using Netscape 3.01 running on Win 95, the *first* thing the
  312. denizens of #hackers did was make fun of my operating system. Yeah, thanks.
  313. But in fact there are great IRC war programs for both Windows 95 and Unix.
  314.  
  315.     For Windows 95 you may wish to use the mIRC client program. You can
  316. download it from http://www.super-highway.net/users/govil/mirc40.html. It
  317. includes protection from ICMP ping flood. But this program isn't enough to
  318. handle all the IRC wars you may encounter. So you may wish to add the
  319. protection of  the most user-friendly, powerful Windows 95 war script
  320. around: 7th Sphere. You can get it from http://www.localnet.com/~marcraz/.
  321.  
  322.      If you surf IRC from a Unix box, you'll want to try out IRCII. You can
  323. download it from ftp.undernet.org , in the directory /pub/irc/clients/unix,
  324. or http://www.irchelp.org/, or ftp://cs-ftp.bu.edu/irc/. For added
  325. protection, you may download LiCe from ftp://ftp.cibola.net/pub/irc/scripts.
  326. Ahem, at this same site you can also download the attack program Tick from
  327. /pub/irc/tick. But if you get Tick, just remember our "You can get punched
  328. in the nose" warning!
  329.  
  330. *********************************
  331. Newbie note: For detailed instructions on how to run these IRC programs, see
  332. At http://www.irchelp.org/.  Or go to Usenet and check out alt.irc.questions
  333. *********************************
  334.  
  335. *********************************
  336. Evil genius tip: Want to know every excruciating technical detail about IRC?
  337. Check out RFC 1459 (The IRC protocol). You can find many copies of this ever
  338. popular RFC (Request for Comments) by doing a Web search.
  339. ********************************
  340.  
  341.     Now let's suppose you are all set up with an industrial strength IRC
  342. client
  343. program and war scripts. Does this mean you are ready to go to war on IRC?
  344.  
  345.     Us Happy Hacker folks don't recommend attacking people who take over OP
  346. status by force on IRC.  Even if the other guys start it, remember this. If
  347. they were able to sneak into the channel and get OPs just like that, then
  348. chances are they are much more experienced and dangerous than you are.
  349. Until you become an IRC master yourself, we suggest you do no more than ask
  350. politely for OPs back. 
  351.  
  352.     Better yet, "/ignore nick" the l00zer and join another channel.  For
  353. instance, if #evilhaxorchat is taken over, just create #evilhaxorchat2 and
  354. "/invite IRCfriend" all your friends there. And remember to use what you
  355. learned in this Guide about the IRC whois command so that you DON'T OP
  356. people unless you know who they are.  
  357.  
  358.     As Patrick Rutledge says, this might sound like a wimp move, but if you
  359. don't have a fighting chance, don't try - it might be more embarrassing for
  360. you in the long run. And if you start IRC warrioring and get K:lined off the
  361. system, just think about that purple nose and black eye you could get when
  362. all the other IRC dudes at your ISP or school find out who was the luser who
  363. got everyone banned.
  364.  
  365.     That's it for now. Now don't try any funny stuff, OK? Oh, no, they're
  366. nuking meee...
  367.  
  368. ____________________________________________________________
  369.  
  370. Want to see back issues of Guide to (mostly) Harmless Hacking? See either
  371. http://www.cs.utexas.edu/users/matt/hh.html (the official Happy Hacker
  372. archive site) or:
  373. http://www.geocities.com/TimesSquare/Arcade/4594 
  374. http://www.silitoad.org
  375. http://base.kinetik.org
  376. http://www.anet-chi.com/~dsweir
  377. http://www.tacd.com/zines/gtmhh/ 
  378. http://ra.nilenet.com/~mjl/hacks/codez.htm
  379. http://www.ilf.net/brotherhood/index2.html
  380. http://www.magnum44.com/orion/entry.htm
  381. http://www.geocities.com/NapaValley/1613/main.html
  382.  
  383. Subscribe to our discussion list by emailing to hacker@techbroker.com with
  384. message "subscribe"
  385. Want to share some kewl stuph with the Happy Hacker list? Correct mistakes?
  386. Send your messages to hacker@techbroker.com.  To send me confidential email
  387. (please, no discussions of illegal activities) use cmeinel@techbroker.com
  388. and be sure to state in your message that you want me to keep this
  389. confidential. If you wish your message posted anonymously, please say so!
  390. Direct flames to dev/null@techbroker.com. Happy hacking! 
  391. Copyright 1997 Carolyn P. Meinel. You may forward or post this GUIDE TO
  392. (mostly) HARMLESS HACKING on your Web site as long as you leave this notice
  393. at the end.
  394. ________________________________________________________
  395. Carolyn Meinel
  396. M/B Research -- The Technology Brokers
  397.  
  398. --
  399. Matt Hinze           <matt@cs.utexas.edu> OR <matth@mail.utexas.edu>
  400. PGP: http://keys.pgp.com:11371/pks/lookup?op=index&search=matt+hinze
  401. ICQ: 1301602                      Please encrypt anything important. 
  402. --
  403.