Onderwerp: ircd de ultime ddos magneet maar.....

Beste allemaal,

omdat ik niet heel erg veel kaas heb gegeten van 'grote netwerken' met open verbindingen naar het boze web, wilde ik me hier via dit forum eens orienteren op de mogelijkheden van irc.

Er is mij ooit eens gevraagd hoe je nu een chat op moet zetten, (gewoon met een eigen p3 op je thuis netwerkje, en de snelste verbinding draait de hub - een no-ip.net account voor iedereen die aan het prutsen mee doet en je bent er .... toch??

Nou neej, zo simpel is het niet (helaas)

Wie begint aan er irc zal al snel merken dat zelfs op een thuisnetwerkje erg al 'vervelende' dingen kunnen gebeuren, mensen die gaan proberen een doss op te zetten zul je zelfs bij hobby-sites al tegen het lijf lopen, en dat is ook niet zo vreemd want waarom zouden zij HUN hobby niet ten uitvoer brengen?

Maar goed, je vergeet het hele idee en wordt volwassen, totdat het toch weer begint te kriebelen, een comunicatie platform dat je oude irc hart weer doet smelten, pfff al dat getwitter (echt compleet eenrichtings verkeer, en je lult tegen de muur en tegen de hele wereld tegelijk) boeit me totaal niet, dus een nieuw projectje 'is misschien een optie'

Dus wil ik het een keer goed aanpakken maar hoe,

Een licht aangepaste versie van inspircd (of unrealircd dat moet ik nog even zien) bleek met wat modules, en een mysql database een leuk begin.

ooit denk ik, wil ik nog een website bouwen, waar je een profiel kunt maken, of je openID (van bijv google) aan je chatnaam kunt hangen, een paar extra profielveldjes kunt toevoegen en vervolgens aan het gedoe kunt meedoen, op forums chat en elke andere online bezigheid die ik dan aan de praat krijg <smile?

Voor de beveiliging dacht ik als eerste stap aan een systeem waarbij je na je inlog een random key krijgt toegewezen (een sessie sleutel dus).

je MOET dan inloggen op een website, om via een random generator, een tijdelijke sleutel te krijgen, die je vervolgens samen met je userID gebruikt om verbinding met de ircd te kunne maken. dit is wellicht een leuke eerste beveiliging, maar de scriptkidds onder ons weten dat dit te omzeilen is ...

mijn vraag is nu hoe beveilig je nu verder.

Wat kun je doen om Denial of Service tegen te gaan
Hoe filter je gebruikers uit (ongewenste) geografische gebieden (bijv om de uiteindelijke kosten beheersbaar te houden...

En omdat het voor een hobby project is mag het natuurlijk niet(s?) te veel kosten.
volgende vraag (maar die post ik pas als ik hier genoeg antwoorden en ideeën op gehad heb) zou zijn - wie mij een aanbieding kan doen, Maar dat is voor later - en voor een ander forum...

Met services voor globals bans op alle servers en goede k-lines om gebieden te blocken kom je al een heel eind.

Sommige services killen of renamen je automatisch als je een nick van iemand anders gebruikt, meschien zou je die kunnen aanpassen dat je altijd in moet loggen oid ipv via een website, dan kunnen ze dat ook gewoon scripten in hun irc client.

maar tegen een goede (d)dos valt gewoon weinig te beginnen, zeker met geen/laag budget

PreServer, allereerst dank voor je reactie,

Als icter (op sbs niveau), heb ik uit ervaring geleerd dat het voorkomen van een 'hack' begint bij het voorkomen dat er aanleiding is om jouw of je spullen iets aan te doen, maar op het grote boze web denk ik dat deze insteek minder lang zal standhouden dan wij hier met z'n allen zouden willen.

echter, heb ik het idee dat irc veel meer een ddos machneet is dan bijv. een game forum, een flashgames website (zoals spelletjes.nl) of "jan de buurman's ikhouvanvoetbal.goedkoopgehost.hier clubsite'

ik vraag me dus oprecht af, 'wat maakt ircd dan zoveel anders dan bijv, een gewone httpd, of de shoutcast van de <insert irritantie zanger> -fanclub die plat moet volgens de fans van <insert andere irritantie zanger>.

ofwel: welk functioneel verschil maakt een ircd zoveel vatbaarder dan al die andere services. of is het echt alleen een psychologisch verschil?

Ik denk omdat er meer techies op komen, en die graag willen showen naar hun vrienden, of concurrenten de loef af willen steken.
Ook is het een beetje territorium afbakenen.

Irc is niet echt meer of minder vatbaar voor ddos dan andere services, het is vooral psychologisch, en een slechte naam, wij draaien al jaren irc zonder al te veel problemen.

Het psychologisch gedeelte zal hem denk zitten in de mensen die eropaf komen, en de snelheid waarmee dingen gebeuren (bij een dos zie je gelijk mensen zeuren en disconnecten ed, dat is natuurlijk leuker dan een forum plat leggen en dan netzo als de rest van de gebruikers er niet meer op kunnen en de reacties erop niet kunnen lezen)

Ook stamt irc uit de tijd dat veel mensen nog via de telefoon op internet gingen en je met een kabelmodempje hele volkstammen telefoon interneters eraf kon flooden en met telnet windows95 een bsod kon geven)

en wederom natuurlijk dank voor de reacties,

als ik het zo 'begrijp' zit er dus bijna niets anders op dan het gewoon te doen en ergens in de AV/ToS duidelijk aan te geven dat 'we er zijn ter ieders leering en de vermaak' en dat DDoS'en enkel zullen leiden tot nullrouting, en me er dan verder niet al te druk over maken?????

dit zou voor mij op zich (hobby enzo) best een acceptabele oplossing zijn, maar hoe gaan hosters hier mee om?...

DDoS traffic richting IRCd servers zijn er in verschillende soorten en maten.
In bepaalde gevallen kan dit prima gefilterd worden, maar in veel gevallen gaat het om wat zwaarder traffic wat zich snel kan vormen tot overlast.

Er is en blijft een risico dat IRCd machines doelwit worden, en hier valt helaas weinig aan te doen.
Mede van dit risico zullen er vast en zeker wat hosters zijn welke IRCd daarom buiten het netwerk houden

een kabelmodempje hele volkstammen telefoon interneters eraf kon flooden en met telnet windows95 een bsod kon geven

Hahaha, cool... dat was inderdaad nog een leuke tijd.

Een aantal jaren geleden hebben wij ook nog een ircd gehad. Weet al niet meer welke precies, maar het was geen Unreal want dat zou de volgende stap worden, overschakelen naar Unreal. Alleen is het daar toen niet meer van gekomen, maar die had wel wat uitgebreidere mogelijkheden en iets betere services als wij hadden draaien.

Er werd bij ons wel streng gecontroleerd op aanwezigheid van eggdrops, want een beetje slecht geconfigde eggdrop nodigt meteen ook al ddos uit. Da's misschien een van de dingen om wat rekening mee te houden.

Verder bijna alleen Nederlandse gebruikers, dus we hebben ooit een tijdlang heel die dip-t.dialin.net zooi (oftwel zo'n beetje driekwart Duitsland of meer) geblokkeerd. Dat was wel pret.
Achja... het kietelt inderdaad weer als er over gesproken wordt, maar zelf begin ik er niet meer mee, genoeg te doen zoals het nu al is.

Vroegah... winnuke op je provider range en je zag hele kanalen disconnecten met read errors, en weer een takeover, het leukste bleef altijd de reacties als ze weer terug kwamen

We gebruiken nog steeds irc als communicatie medium voor de medewerkers, werkt voor sommige dingen fijner dan email, msn en telefoon. We hebben zelfs klanten die nog via irc werken, maar dat is een uitstervend ras.

Ook gebruiken wij eggdrops voor dingen als nagios

Ieder zijn ding

PreServer, klinkt alsof je er flink wat ervaring mee had,

Om het historisch in context te houden, ik ben dus van de generatie msn chat (niet messenger maar de mircosoft variant op irc) en was later zelf redelijk nauw betrokken bij het ontdekken dat je met mirc en wat sockets wel degelijk verbinding kon krijgen met hun ircd's.

In de tussen tijd leerde ik ook andere chats kennen, waardoor ik uberhaubt achter het bestaan van mirc, en irc in het algemeen kwam.

Die chan floods enzo heb ik ook mee gemaakt (ook al hadden wij toen al een kabel modem) maar wel vanuit het perspectief van een 'niets vermoedend' jongetje met een eigen laptop (die overigens bedoeld was voor school en niet voor chatten).

Door mijn voorliefde voor 'systemen' 'netwerken' en 'services' en het feit dat ik het in m'n vrije tijd voor elkaar kreeg als 15jarige, een complte online computer helpdesk op te zetten, leverde me dat intresse op van IRCops (maar daar was ik natuurlijk te jong voor) echter leverde dat wel regelmatig intressante gesprekken op als men dacht dat ik info had over mensen en hun intresse voor 'hacks op het netwerk' (waar ik overigens graag aan meewerkte)

Toen de msn scripts de pan uit begonnen te reizen en MS er uiteindelijk mee stopte (ergens in 2003 ofzo) ben ik me minder met chats gaan bezig houden en meer met forums, nieuwsgroepen (de niet bin versies). maar het 'gemis van live contacten, en direct reply is er toch nog steeds wel een beetje '

Later ben ik meermaals gevraagd om een msnchat clone op te zetten (een ircx (irc-extended) server met een grafische noob-vriendelijke en het gebruik van een 'gehackte webbased client in VB (dus een activeX aplet in IE)

Wegens het niet willen jatten van andermans programmatuur, copyrights, en de slechte documentatie van het protocol, en de nep-servers. heb ik daar altijd voor bedankt.

Nu goed allemaal minder intressante dingen over de motivatie die ik heb om er intresse in te hebben. en misschien wel de reden waarom ik ICT'er wilde worden.

Punt waar je dan bent aangekomen in je leven, is dat het 'nostagische besef van tegen echte mensen (ook al is het typend) praten toch je voorkeur heeft dan twitteren en hyvesen. en dat ik me uiteindelijk geen betere plek kon bedenken om over te praten dan dit forum. waar ik in de loop der lurkende jaren best redelijk vaak via google terecht ben gekomen.

waar ik overigens nog wel nieuwschierig naar ben is naar de kosten van zo'n ircd, en dan bedoel ik dus niet het aantal euro's dat ik ga betalen voor een linux vps (want daar is dit forum niet voor). maar de kosten in 'bandbreedt mbit/s, gemiddeld data verbruik (gbit/m) de systeembronnen (cores ram i/o). ik ben dus wel benieuwd naar wat 'algemene' stats over het vebruik van wat mensen. deels ook omdat ik wil overwegen om als ik irc zou gaan hosten, enkel de centrale userdatabase, de services, en de loadbalancer te hosten, evenals natuurlijk de webbased frontend etc. maar voor de users zoveel mogelijk gebruik te maken van zip-linken naar goedkopere 'leafs' (bijv op regfiber aansluitingen)

Oorspronkelijk geplaatst door ichat

PreServer, klinkt alsof je er flink wat ervaring mee had,

waar ik overigens nog wel nieuwschierig naar ben is naar de kosten van zo'n ircd, en dan bedoel ik dus niet het aantal euro's dat ik ga betalen voor een linux vps (want daar is dit forum niet voor). maar de kosten in 'bandbreedt mbit/s, gemiddeld data verbruik (gbit/m) de systeembronnen (cores ram i/o). ik ben dus wel benieuwd naar wat 'algemene' stats over het vebruik van wat mensen. deels ook omdat ik wil overwegen om als ik irc zou gaan hosten, enkel de centrale userdatabase, de services, en de loadbalancer te hosten, evenals natuurlijk de webbased frontend etc. maar voor de users zoveel mogelijk gebruik te maken van zip-linken naar goedkopere 'leafs' (bijv op regfiber aansluitingen)

Je moet je toch op een of andere manier vermaken na/onder schooltijd

Kosten vallen wel mee, protocol is redelijk geoptimaliseerd, en het blijft text , hethangt vooral af van hoeveel gebruikers het netwerk heeft.
De services zijn wel het zwaarste, frontend draait meestal gewoon op de client (java irc oid)
voor de rest is het gewoon een website.

kosten vallen wel mee.

vertel: hoeveel users heb je gemiddeld en hoe is dat op pieken,
wat kost het je aan data verkeer en hoe zit dat met bandbreedte,
wat zegt je systeembronmeter.

Beetje late reactie, maar ik had dit topic nog niet gezien

Ik draai zelf al 11 jaar klein irc netwerkje (+- 400 gebruikers op elk moment van de dag) en heb tot nu toe weinig gemerkt van DDoS. We hebben 1 keer een zware gehad n.a.v. het perm bannen van een botnet host, en dat is ook meteen de zwakke plek van IRC. Script kiddies zijn nogal snel aangebrand als je ze aanspreekt op hun gedrag.

Zeker als je bent opgenomen in de mIRC server lijst ben je een magneet voor botnet hosts die je server proberen vol te laden met allerhande bots. Door onze kleine omvang is het vrij makkelijk te zien wanneer die bots verschijnen en daarop actie te ondernemen.

Qua load en traffic is een IRC server/netwerk als het onze verwaarloosbaar klein. Ik draai ze zelf op 2 dedicated servers in EU en USA, elk op een eigen vps van maar 512MB. Het trekt bijna geen load. Ik zal eens kijken of ik een cacti graph een weekje kan laten draaien om het inzichtelijk te maken.

Beste Adonis, (haha +1 voor de naam by the way),

Ik zou graag ingaan op je aanbod, dergelijke stats lijken me een zeer welkome bron van informatie (zeker omdat ze recent zijn).
Vooral omdat ik uit ben op een community-based systeem, waarbij ik dus het IRCD gebeuren slechts als onderdeel zie van overige informatiesystemen.
en ik vooral geïnteresseerd ben om zo min mogelijk gehoste ruimte, aan irc te besteden - en ik dus net zo makkelijk zou willen kunnen kiezen voor enkele consumenten verbindinkjes, zoals verschillende Nederlandse fiber providers die inmiddels leveren, met slecht een centrale server om het netwerk 'beheer-' en beheersbaar te houden.

Het was me in ieder geval al wel redelijk duidelijk dat de hoge 'ddos' verwachting van IRC vooral iets psychologisch lijkt waar je dus ook met een goede gedragscode vooraf al heel wat aan kunt beperken...

He dankje Ik moet die naam ooit nog eens laten aanpassen.

Ja, het is zeker iets psychologisch, maar je hebt ook direct contact met bepaalde negatieve elementen, zoals bijv die botnet hosts die je aanspreekt op hun gedrag. Dat zijn triggers die een DDoS kunnen laten ontstaan. Het risico is daarom wellicht wat hoger dan met een gewone website.

Het ruimte verbruik is ook niet zo heel hoog. De meeste ruimte ben je kwijt aan logfiles die je af en toe kunt verwijderen of archiveren. CPU verbruik is ook verwaarloosbaar. Ik weet ook uit ervaring dat je IRC netwerk bevolkt te krijgen ook niet makkelijk is, net als met fora denk ik. Ik heb maanden bijna alleen gezeten in het begin.