Pues eso, es como un "bugerin" por donde metemos los paquetes que van dirigidos a un determinado servicio. Por ejemplo:
Un Browser que solicita una página HTML lo hace al puerto 80 El Telnet accede al puerto 23. El FTP al 21. La famosa NetBIOS lo hace al puerto 139. Un cliente de IRC abre en nuestro pc un puerto por encima del 1024 por el cual se producirá el intercambio de datos.

Sabiendo todo esto es lógico pensar que cualquier ataque tiene que aprovechar los defectos y las virtudes que ofrecen todas estas características de una comunicación, así que a partir de aquí solo queda calentarse un poco la cabeza para poder aprovechar esto en nuestro beneficio (o en nuestro perjuicio) Ataques por ICMP La misión del ICMP es la de informar sobre los distintos errores que se pueden producir en la conexión. El ataque consiste en hacer caer a la victima haciendola creer que se ha producido en su conexión uno de los siguientes errores:

Net Unreachable: código de error: 0. No se puede alcanzar la red. Host Unreachable: código de error: 1. No se puede alcanzar la dirección del host. Port Unreachable: código de error: 2. Igual que antes pero con el puerto. Fragmentation needed and DF set: código de error: 3. Indica una necesidad de fragmentación. Source route failed: código de error: 4. cuando se produce un fallo en la ruta de origen.

Para realizar el ataque se fabrica un paquete ICMP falseado y se envía al puerto que el cliente de IRC (el mIRC por ejemplo) abre en el ordenador de la víctima. Bueno, de momento vayamos por partes. El atake se puede hacer de dos formas distintas:
Nuke por server: Los paketes ICMP son enviados al servidor IRC, engañandolo y haciendole creer que ha habido un error en una comunicación con el cliente. ¿Qué pasa entonces?, pos que el server chapa la conexión que habia establecida con ese cliente.

Nuke por cliente: Los paketes ICMP se envían directamente al cliente, haciendole creer que el servidor pasa olimpicamente de él y el mIRC (o el cliente que sea) chapa la conexión. Encontes el server detecta este cierre por parte del cliente y tb cierra la conexión (antes no lo había hecho). No todo es tan bonito como parece, si haces un nuke por cliente este puede saber la IP del atakante, y si lo haces por server será este el que sepa tu IP asin que preparate para un posible K/G-Line. Pero hay una cosa que se puede hacer: falsear la IP origen de los paketes ICMP. Lo chungo del caso es encontrar ese puerto que abre el cliente de IRC en el PC de la víctima. Para encontrarlo se hace un barrido de puertos, desde el 1025 hasta el 4000. Se empieza en el 1025 pq del 0 al 1024 están reservados. Para esto hay programitas muy chulos (como el port-scan) que te hacen la vida más facil. Un poco más facil es encontrar el puerto del servidor IRC de la víctima. Los típicos son 4400 al 4406, 6665 al 6669, 7000 y 7777. Estos son los típicos que suelen ser reconocidos y reflejados en el MOTD (Message Of The Day, mensaje del día). Hay otros "privados" que se suelen usar para las conexiones entre los servidores de la red... pero esto es otro cantar... ¿Como detectarlo?. Chungo. Solo fijandose en la actividad del modem. Durante el barrido el modem parece que se haya hecho una raya de farla... no deja de parpadear anormalmente. Cuando llega el pakete ICMP, nos desconectamos y se observa uno de los siguientes mensajes:
*** Persefone has quit IRC (Read error to Persefone[psi36.psico.uniovi.es]: Connection reset by peer) (te juro que yo no fui Perse!!!) *** KGB has quit IRC (Read error to KGB[195.76.37.15]:EOF from client) *** Kerberos has quit IRC (Read error to Kerberos[eui015.eui.upv.es]: Protocol not available) *** Redblind has quit IRC (Read error to Redblind[info763.jet.es]: Network is unreachable) *** Wyatt has quit IRC (Read error to Wyatt[sppx05.sp.ehu.es]: Machine is not on the network) *** Fer has quit IRC (Read error to Fer[fil12.afi.upv.es]: Connection refused) *** sony has quit IRC (Read error to sony[pcwww10.inforg.uniovi.es]: No route to host)

Pues con un cortafuegos, eso los filtrará... y si no tenemos .. pues usando puertos raros del server (distintos al 6667).

Este es probablemente el ataque mas viejo y usado en el IRC. Los datos OOB (Out Of Band) son datos más prioritarios que los normales. Se suelen usar para resaltar condiciones anormales. Pero gracias a un bug de programación de los sicarios del capullo del señor Puertas los pc's bajo Güidous petan cuando les llega este tipo de datos ya que el sistema se desestabiliza (aunque para mi que el w95 nacio inestable... pero en fins xD). El ataque se realiza enviando una cadena de datos del tipo OOB al puerto 139 (la NetBIOS). El sistema acepta con normalidad esta cadena, pero cuando comienza la rutina de excepción los servicios de red se van a tomar por culo y aparece la asquerosa ventana de los pitufos (esto en w95), en w3.11 simplemente nos largan al DOS, y en NT ocurre algo parecido a w95 pero volcando el contenido de toda la memoria a un archivo temporal.. (y si consideramos que un sistemas con NT tiene como mínimo 32 megas de RAM... ya me dirás), para luego resetear el sistema. El típico mensajín que se ve en estos casos es del tipo: *** Goku has quit IRC (Ping timeout for Goku[clarisa.tech.arrakis.es]) (juro que yo tampoco fui!!! (aunque en este caso no me habría importado }:-> ))

Te puedes bajar el parche de la web de microsoft (me niego a poner un link a la página de esos pringaos!), pero yo no te lo recomiendo... no suelen funcionar. También puedes hacer lo que hace todo el mundo, usease, quitar el problema de raiz, vamos mandar a tomar viento levantino al NetBIOS sobre TCP. Así el jodio puerto 139 dejará de dar por culo ya que los paketes dirigidos a él se perderán. Si tienes la suerte de que tu pc no forma parte de una red local esto es lo mejor que puedes hacer: renombrar el c:\windows\system\vnbt.386 a c:\windows\system\vnbt.bak y reiniciar... Si por una de aquellas tu pc forma parte de una red local pruebalo tb. y si ves que no eres capaz de acceder a los recursos compartidos es que en tu red usan la NetBIOS sobre TCP para compartir recursos... así que dejalo como estaba y listo. Lo que también puedes probar es lo siguiente: Cargar c:\windows\regedit.exe Entrar en: HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | VxD | MSTCP Entrar en el menú: Edición/Nuevo/Valor de Cadena y poner como nombre: BSDUrgent Doble click sobre esta variable creada dandole el valor 0 (cero, no O). Cerramos el regedit y reiniciamos. Si estás en Win 3.1x haz esto otro: Abre el SYSTEM.INI Debajo del apartado [MSTCP] (si no existe lo creas) inserte esta linea: BSDUrgent=0 Si por una de aquellas queremos dejarlo todo como estaba pues con darle a BSDUrgent el valor 1 (uno, no ele) sobra... De todas formas usando un cortafuegos que filtre las conexiones al 139 te librarás de muchos dolores de cabeza...

Este nuke también es conocido como SSPING, jolt, Winnuke Ping, IceNewk. o "Ping of Death" Para variar este nuke también es gentileza de los pringaos de microsoft que metieron la pata (hasta el fondo) en la implementación del TCP/IP. Se genera cuando el jodio pc (con güindous 95 y NT) recibe carro y mitad de paquetes muy fragmentados y los coloca en orden, entonces el sistema se va de baretas. Vamos que deja de pirular... no va nada.. ni el ratón, ni el ctrl+alt+supr, ni ná de ná... Para este el parche (a dios gracias) si que funciona, así que vete a mendigarlo a la web de los del puertas.
Por cierto, los que useis el Trumpet Winsock para conectar estad trankilos que este nuke no os afecta. Bueno, para que veais lo bueno que soy aquí teneis los parches (pero que peazo corazón que tengo copón)(de momento no estan, xD, disculpat las molestias, los parches y todos los programas esmentados estaran aqui! xD). Una forma de hacerlo: Abre c:\windows\system\vip.386 con un editor hexadecimal (HEXADECIMAL!!) Buscar la cadena 76 D2 Reemplazar 76 D2 por 48 40 Salvar el fichero Reiniciar Aquí está el parche para WinNT. Y para Win95 debería estar por aquí.

Este es el atake más conocido por to dios. Se basa en la implementación realizada sobre el protocolo (flood control) para evitar que un usuario acapare todos los recursos de un servidor mediante un envío masivo de datos en un espacio de tiempo pequeño. Para evitarlo lo que hace el servidor es "desenganchar" a este usuario: *** Void has quit IRC (Excess Flood) (este si que fui yo, lo confieso. Lo siento Void tio, pero era una tentación muy fuerte... X'DDD )
Existen muchas formas de llevarlo a cabo. El genuino es mediante el Ping (a lo que la victima responde con el Pong), pero tambien hay otros como los comandos: Version Clientinfo Userinfo Time Lo usual es cargar un clon (una sesión del mirc corriendo en paralelo) para así tener la seguridad de que nosotros no seremos los que nos "desengancharemos". Si yo mando 40 pings y mi clon otros 40, la víctima recibirá 80 y nosotros solo 40 replicas (los pongs). Lo ideal sería tener más de un clon pero los servidores para evitar este abuso solo permiten un máximo de clones por "línea" (en el hispano 2) prohibiendo la entrada a más clones. Si se da el caso de que hay más clones de los permitidos entonces el servidor "matará" los sobrantes: *** Kerberos has quit IRC (Killed (Clones!)) Si un administrador de la red IRC quisiera cambiar el máximo de clones permitidos por "línea" desde una determinada IP para, por ejemplo, permitir el acceso a universidades o cibercafes que acceden a inet desde la misma dirección, solo tendría que añadir una I-Line al servidor (una I-Line no es más que una entrada en el fichero de configuración del ircd (servidor de irc para unix) que permite modificar el número máximo permitido de clones desde una dirección IP determinada). ¿Como detectarlos?. Echando un vistazo de cuando en cuando a la pantalla de status. Ahí podremos observar si estamos siendo víctima de un envio masivo de pings (por ejemplo). Si no estamos protegidos, cuando se corte la conexión, observaremos el puto "Excess Flood". De todas formas todos los scripts que pululan por aki integran protecciones y detectores de flood