Depuis plusieurs mois, on peut observer sur énormément de réseaux IRC un phénomène assez amusant; des bots répondant aux doux noms de paula35, gigi31 ou encore clochette et mbulleg se connectent au réseau, semblent ne rien faire pendant 2/3 minutes, puis quittent le réseau.

Pris d’un désir d’en finir avec eux, j’ai dégainé mon fidèle PuTTY:

nohup tcpdump -vv -s 0 -w cmon-stupid-fecking-bots.pcap 'tcp[2:2]=6667' &

afin de voir de quoi il en retourne. En moins de 24h, premiers résultats, et concluants avec ça: ils font bien quelque chose, mais c’est au niveau de la couche TCP que ça se passe. La conversation suivant le protocole IRC se résume en effet à un NICK, USER puis un QUIT, mais c’est ce qui se passe avant le QUIT qui est intéressant. J’ai pu en effet observer une totalité de 1342 erreurs de protocole TCP: Bad checksum, SYN, FIN, RST, bad checksum (plus de 30 fois), et re-belote.

On va appeler ça une pitoyable tentative de DoS, car c’est pas avec sa petite bande passante qu’il fera paniquer un serveur. Mais ça mérite quand même un DROP sur les firewalls. Admins IRC, sus à 212.198.248.33 [212-198-248-33.rev.numericable.fr] et 90.25.50.57 [ANantes-257-1-35-57.w90-25.abo.wanadoo.fr].

Edit: Comme me l’a suggéré Sendell de l’équipe d’EpiKnet, il peut être utile d’avoir recours à des services de blacklist, comme bopm, qui commencent à recenser ces IP devenant visiblement de plus en plus nombreuses, du moins suffisamment pour qu’on commence à s’en soucier.