Moin,
ich habe übers Wochenende, mehrere Tage lang, von einer festen IP, aber unterschiedlichen Ports, Zugriffe auf Port 6346 bekommen. Das ist wohl der Gnutella-Port. Ich habe davon aber nicht allzuviel Ahnung, da ich sowas nicht nutze.
Es kamen immer 3-4 Zugriffe im Abstand von 2 Sekunden, dann für 20-30 Sekunden Pause, dann wieder vom nächsten Port.
Ich beantworte Dinge, die ich nicht mag, mit --reject-with tcp-reset. So lernresistent kann man doch eigentlich nicht sein, daß über 3 Tage lang dennoch zu versuchen, oder?
Andreas, der nun nach Feierabend die Verbindung expliziet schließt.
On Tue, Jan 08, 2002 at 04:36:34PM +0100, Andreas Kretschmer wrote:
ich habe �bers Wochenende, mehrere Tage lang, von einer festen IP, aber unterschiedlichen Ports, Zugriffe auf Port 6346 bekommen. Das ist wohl der Gnutella-Port. Ich habe davon aber nicht allzuviel Ahnung, da ich sowas nicht nutze.
Es kamen immer 3-4 Zugriffe im Abstand von 2 Sekunden, dann f�r 20-30 Sekunden Pause, dann wieder vom n�chsten Port.
Ich beantworte Dinge, die ich nicht mag, mit --reject-with tcp-reset. So lernresistent kann man doch eigentlich nicht sein, da� �ber 3 Tage lang dennoch zu versuchen, oder?
IMHO kann man bei diesen Dingern gar keine Adressen selbst angeben, es sei denn f�r bekannte Server. Wenn Du aber nie sowas laufen hattest, mu� das wohl was anderes sein...
Gru�, Eric
am Tue, dem 08.01.2002, um 17:21:21 +0100 mailte Eric Schaefer folgendes:
On Tue, Jan 08, 2002 at 04:36:34PM +0100, Andreas Kretschmer wrote:
[Gnutella]
IMHO kann man bei diesen Dingern gar keine Adressen selbst angeben, es sei denn für bekannte Server. Wenn Du aber nie sowas laufen hattest, muß das wohl was anderes sein...
Klar. Mich würde nur interessieren, ob Deppe^WMitarbeiter sowas machen bzw. versuchen. Mit Sicherheit nicht Inhalt der Arbeit bei uns...
Andreas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Tuesday 08 January 2002 17:33, Andreas Kretschmer wrote:
am Tue, dem 08.01.2002, um 17:21:21 +0100 mailte Eric Schaefer folgendes:
On Tue, Jan 08, 2002 at 04:36:34PM +0100, Andreas Kretschmer wrote:
[Gnutella]
IMHO kann man bei diesen Dingern gar keine Adressen selbst angeben, es sei denn für bekannte Server. Wenn Du aber nie sowas laufen hattest, muß das wohl was anderes sein...
Klar. Mich würde nur interessieren, ob Deppe^WMitarbeiter sowas machen bzw. versuchen. Mit Sicherheit nicht Inhalt der Arbeit bei uns...
Wie jetzt? Kamen die Verbindungsanfragen von innen? ja: ich wuerde ganz dringend mal ueberpruefen, was auf dem Rechner so laeuft (aktuellen Virenscanner mitnehmen!) nein: filters weg und ignoriers einfach, Scans sind heutzutage Alltag, auf meinem Rechner zu Hause sehe ich auch alle naselang Scans nach .../root.exe und .../cmd.exe im Apache-Log(*).
(*)Port 80 ist mit Absicht offen. Genauso, wie 443, 22 und 2401.
Konrad
- -- BOFH excuse #192:
runaway cat on system.
am Tue, dem 08.01.2002, um 21:11:41 +0100 mailte Konrad Rosenbaum folgendes:
On Tuesday 08 January 2002 17:33, Andreas Kretschmer wrote:
am Tue, dem 08.01.2002, um 17:21:21 +0100 mailte Eric Schaefer folgendes:
On Tue, Jan 08, 2002 at 04:36:34PM +0100, Andreas Kretschmer wrote:
[Gnutella]
IMHO kann man bei diesen Dingern gar keine Adressen selbst angeben, es sei denn für bekannte Server. Wenn Du aber nie sowas laufen hattest, muß das wohl was anderes sein...
Klar. Mich würde nur interessieren, ob Deppe^WMitarbeiter sowas machen bzw. versuchen. Mit Sicherheit nicht Inhalt der Arbeit bei uns...
Wie jetzt? Kamen die Verbindungsanfragen von innen?
von außen.
ja: ich wuerde ganz dringend mal ueberpruefen, was auf dem Rechner so laeuft (aktuellen Virenscanner mitnehmen!)
s/dem Rechner/den Rechnern/
nein: filters weg und ignoriers einfach, Scans sind heutzutage Alltag, auf
Ja, schon klar. Mich machte nur stutzig das Muster, wie die Scans erfolgten. Recht zielgerichtet, insbesondere, wenn man bedenkt, daß der Packetfilter erst wenige Tage läuft, das Netz aber schon Jahre...
Noch mal konkret die Frage:
kann man über einen Default-mäßigen Squid Dinge wie Napster oder Gnutelle nutzen? Ich kenne mich damit nicht aus, denke aber, eher nein. Bisher, und auch jetzt, war und ist kein NAT eingerichtet, nur ein Squid, Defaultmäßig auf einer Uralt-SuSE. So, nun steinigt mich, aber ich kann nix dafür ...
Andreas
On Tue, Jan 08, 2002 at 09:51:29PM +0100, Andreas Kretschmer wrote:
Noch mal konkret die Frage:
kann man über einen Default-mäßigen Squid Dinge wie Napster oder Gnutelle nutzen?
Mit Napster/Gnutella allein wird das nicht gehen. Wenn man aber Zusatzsoftware nimmt, die IP über http tunnelt, geht das. Das ist also eher was für Bastler.
Falls du logs vom squid hast und eine Statitik daraus machst, müsste das Tunneln dort auffallen. Entweder durch http-CONNECT requests auf "ulkige" Rechner (ist mit Zielport 443 beim squid per default erlaubt) oder durch massenhaft http-PUT requests auf einen Rechner.
Reinhard
Hallo!
Reinhard Foerster wrote:
kann man über einen Default-mäßigen Squid Dinge wie Napster oder Gnutelle nutzen?
Mit Napster/Gnutella allein wird das nicht gehen. Wenn man aber Zusatzsoftware nimmt, die IP über http tunnelt, geht das. Das ist also eher was für Bastler.
Glaube ich trotzdem nicht! Squid verfälscht ja auch die Header der Anfrage. Es müsste also auf der anderen Seite ein spezieller Server da sein, der rein Web-basiert anbietet. Das entspricht ja gerade nicht dem Wesen von Gnutella und Co.
Das Problem ist ja: Die Scans kommen von außen. Wenn es kein Masquerading gibt (damit gehen auch POP3 oder Real-Streaming nicht!), kann man kein Gnutella machen. Vielleicht ein Zufallsscan, einer der eine neue Software entwickelt,... Beim C3-Treffen war wohl von so einem Testsystem die Rede..
Gruss Reiner
On Wed, Jan 09, 2002 at 05:10:16PM +0100, Reiner Klaproth wrote:
Mit Napster/Gnutella allein wird das nicht gehen. Wenn man aber Zusatzsoftware nimmt, die IP über http tunnelt, geht das. Das ist also eher was für Bastler.
Glaube ich trotzdem nicht!
Tja, da kann man nix machen.
Squid verfälscht ja auch die Header der Anfrage.
Na und?
Es müsste also auf der anderen Seite ein spezieller Server da sein, der rein Web-basiert anbietet.
Ja sicher. Du brauchst außerhalb der Firma (irgendwo im Internet) eine Gegenstelle, gegen die die ganze Tunnelei arbeitet. Das stellt kein Problem dar.
Eine Realisierungsvariante wäre das Aufbauen einer TCP-Verbindung über HTTP mittels httptunnel[1]. Über diese TCP-Verbindung kann man mit vtun[2] ein VPN aufbauen (ein IP-Netz). Der Rechner außerhalb der Fa. macht dann die Adreßumsetzung. Für den Gnutella-Client ist das völlig tranparent.
Das entspricht ja gerade nicht dem Wesen von Gnutella und Co.
Ohne Bastelei geht es nicht. Das ist klar.
Das Problem ist ja: Die Scans kommen von außen.
Die scans würden in meinem Besipiel an der Tunnel-Gegenstelle landen ...
Wenn es kein Masquerading gibt (damit gehen auch POP3 oder Real-Streaming nicht!)
gehen nicht ohne Zusatzsoftware meinst du.
kann man kein Gnutella machen.
... ohne Zusatzsoftware :-)
Der Kerngedanke ist: Sobald du irgendwelche Daten über die Firewall mit einer Gegenstelle außerhalb der Firma austauschen kannst, kannst du letztlich darüber alles irgendwie übertragen. In der c't war mal ein Beispiel drin, wie man IP über DNS tunnelt. Verglichen damit ist IP über HTTP richtig einfach.
Reinhard
[1] http://www.nocrew.org/software/httptunnel.html [2] http://vtun.sourceforge.net/
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Andreas Kretschmer -
Eric Schaefer -
konrad.rosenbaum@t-online.de -
Reiner Klaproth -
Reinhard Foerster