BadIP & Peer2PeerEnemies *aktualisiert 04.02.2004*

[cosmic girl]

Nachdem ich jetzt sehr ausgiebig gesucht habe und keinerlei Anzeichen auf dieses doch wichtige Thema gefunden habe -
hier nun mein erster eröffneter Thread:

Die Zeiten völlig ungehemmten Datentausches sind lange vorüber.
Es gibt Organisationen, die den Kampf gegen das Verbreiten von rechtlich geschütztem Material aufgenommen haben.
Inwiefern die verwendeten Methoden aber evtl. Rechte der User verletzen, bleibt dabei unbeantwortet.
Auch werden von gewissen IPs Werbe-, Spam- und andere Attacken gefahren - Stichwort: FakeParts.
Es ist also in unserem Sinn, wenn wir diesen IPs den Zutritt zu unserem System untersagen.

Wer sich einen Überblick über die diversen IPs und die dahinterstehenden Organisationen/Betreiber verschaffen möchte,
kann das hier tun (derzeit nur zu bestimmten Uhrzeiten möglich [Stand: 03.01.2004].
Dort gibt es auch den downloadlink für ein tool (PeerGuardian, derzeit beta-Stadium, das jedoch schon sehr beliebt ist).
Dieses tool soll alle möglichen BadIPs blocken - man kann auch IPs von Hand hinzufügen oder entfernen.

Hier noch der direkte link zu Peer Guardian: http://xs.tech.nu/ [update: 16.04.2003]

Eine Review in Englisch findet man hier.



__________________________________________________ _________________

edit im Februar 2004 - ein Jahr nach Erstellung des threads: Ich würde gerne eine aktuelle Version ohne die ganzen edits verfassen, da aber auch posts im thread sind, kann ich nicht einfach den unteren Teil wegeditieren... - einen neuen thread erstellen wäre wenig sinnvoll, da bereits in sehr vielen anderen threads immer auf diesen thread hier verwiesen wird - also entschuldigt das kleine Chaos - ich bemühe mich, durch Verwendung verschiedener Farben ein wenig Übersicht zu bringen.

Unser Mitglied kingkaramel hat auf ein neues und wie ich finde sehr vielversprechendes Projekt/Programm aufmerksam gemacht:
ProtoWall - da er hier unten im thread bereits eine kurze Erklärung gepostet hat, beschränke ich mich auf zwei links:

• der eine zu seinem post hier im thread
• und der andere zu dem ProtoWall-thread im eMule-Tools Subforum unseres Boards.

__________________________________________________ _________________



edit: Der eMule ab Version 0.26b kann IPs filtern, sofern man die Datei ipfilter.dat im Verzeichnis mit der emule.exe hat - diese wird dann beim Start geladen und kann bei den neueren Versionen von eMule dann auch aus dem laufenden Programm heraus editiert und neu geladen werden. (Editieren sollte man aber nur, wenn man weiss, was man tut - wer sich mit den ranges vertut, blockt u.U. auch gute Quellen!)
Eine Version einer aktuellen ipfilter.dat gibt es hier.
Das file herunterladen und in das Verzeichnis mit der emule.exe verbringen. Bei den neueren Versionen mit config Ordner bitte die ipfilter.dat in den config Ordner kopieren.


Aktuell (seit Mitte Dezember) macht eine "böse" Server-IP Probleme - daher bitte unbedingt darauf achten, dass ihr die folgende Zeile als letzte Zeile in euere ipfilter.dat einfügt:

Zitat:

255.255.255.255 - 255.255.255.255 , 000 , INADDR_NONE

Häkchen bei Filtern von Server IPs (unter Einstellungen --> Sicherheit - IP-Filter) nicht vergessen. [Stand: 03.01.2004]


Nachdem zur Verwendung desöfteren Fragen aufgetreten sind:
Wenn man nur den eMule benutzt, dann reicht die ipfilter.dat aus.
Verwendet man jedoch andere P2P-clients wie KaZaA (Lite), WinMX, Shareaza, SoulSeek etc., dann sollte man "vorgeschaltete" IP-Filter-Programme wir ProtoWall (neu) oder PeerGuardian nutzen.
Und doppelmoppeln schadet sicher auch nicht.
Entgegen der verbreiteten Meinung, die downloads wären dadurch langsamer, bestätigen das meine Erfahrungen nicht.
/edit


So, nun hätte ich bitte gerne ein paar Vorschläge von den geeks, wie man die gesamte (immer wieder aktualisierte) IP Liste von entsprechenden sites so einbinden kann, daß sie automatisch beim Systemstart oder zumindest beim eMule Start geladen und aktiv wird?
Immer eine batch Datei von Hand aufrufen kann es ja nicht sein!?

edit: Der Aufruf hat sich erledigt, denn es gibt mittlerweile genügend Versionen und Mods, die diesbezüglich keine Wünsche offen lassen.



Grüße

cosmic girl

[Phantomias]

Klingt nach ner guten Idee.
Nur was geht wenn die auch Dynamic-IP's beziehen ? dann ist irgendwann jede IP gesperrt ? (ist nur ein Gedanke)

Ich kann zwar nicht programmieren, würde mich aber für so eine Version als Tester anbieten.

Gruß,

Phantomias

[cosmic girl]

Da es sich um sehr große Organisationen handelt, haben die fast alle static IP.
Bei den zwielichtigen Spammern wechseln dann halt mal gesamte IP ranges.
Deshalb ist es auch wichtig die Listen regelmäßig zu aktualisieren und "Unschuldige" wieder rauszunehmen, wenn sie versehentlich reingerutscht sind.

Zur Software:
Wie gesagt, das tool PeerGuardian (link bereits im post oben) macht das angeblich schon - kann es nur im Moment nicht testen..
Man muss sich da aber wohl auch um jeweils aktuelle Listen kümmern.
...das kennt man ja von den Virenscannern.. ein bisschen Automation wäre da wünschenswert.


Ein weiterer link zu einer deutschen Organisation:
http://www.bsa.de/

________________
Wissen ist Macht!

[Usul]

Zitat:

Zitat von cosmic girl

So, nun hätte ich bitte gerne ein paar Vorschläge von den geeks, wie man die gesamte (immer wieder aktualisierte) IP Liste von ZeroDatas site so einbinden kann, daß sie automatisch beim Systemstart oder zumindest beim eMule Start geladen und aktiv wird?
Immer die .bat Datei von Hand aufrufen kann es ja nicht sein!?

Also mein Vorschlag wäre, die .bat-Datei einfach in den Autostart-Ordner zu kopieren, dann wird sie bei jedem Windowsstart ausgeführt. Des weiteren gibt es bei Windows diesen dämlichen Taskplaner, womit man wohl ein Programm zeitgesteuert ausführen lassen kann (auch ne .bat, denke ich). Bin ich jetzt ein Geek? Wohl kaum. Oder habe ich das Problem nicht ganz verstanden?

Des weiteren fällt mir auf, das das ganze auf ein Katz-und-Mausspiel hinausläuft. Ne IP wird geblockt, der Angreifer ändert die IP und hat wieder Erfolg, dann wird die IP irgendwann auch geblockt -> Angreifer nimmt nächste IP und so weiter. Wäre es nicht sinnvoller, zu überlegen, was der Gegner tut um Schaden zu erreichen und zu versuchen, das zu verhindern?

[cosmic girl]

Das mit dem Autostart Ordner klingt für's erste mal ganz gut.
Mir schwebt da halt entweder ein Programm mit automatischer Importierfunktion der aktuellen BadIP und Peer2PeerEnemies Liste vor
(bei dem PeerGuardian muss man das wohl noch von Hand machen) oder noch besser wäre eben eine Implementierung in den eMule -
man lädt am Anfang die server.met und die bad.dat oder met oder so.
Daher mein Appell an die "geeks".

Das Katz- und Mausspiel haben wir bereits, es gibt Berichte über absichtlich gestreute Dateien mit gefakten hashs,
die über große subnets (alle IPs beginnen mit den gleichen Zahlen) verbreitet werden - da muss man sich schon fragen,
wer hat die Mittel und das Interesse dazu? Welchen Zweck verfolgt er?!
Der MD4 hash wurde bereits gecrackt!
Wenn solche Dateien überhand nehmen, ist das der Tod des gesamten ed2k-Netzwerkes,
da keiner mehr mit den geladenen Dateien was anfangen kann. Und auch kein Fake-check mehr greift!
Die Organisationen, die ein Interesse daran haben, sind so groß und offiziell, daß ihre IPs nicht so schnell geändert werden und wenn, ist das nachvollziehbar.

Ich finde es auch nicht gut, daß in den neuen 26er Versionen nur noch der Userhash und nicht mehr die IP angezeigt wird!
Soll wohl zum Schutze des Users sein... hat doch bisher auch keinen gestört!?

Die IP der Schädlinge zu filtern ist immer noch der beste Schutz gegen solche Attacken.

_________________
Wissen ist Macht!

[cosmic girl]

Also, leider scheint diese Problematik noch recht wenig Resonanz zu finden.
Wenngleich sich mittlerweile einige threads auch mit dieser Thematik befassen... zu finden wohl über die Suche nach ipfilter.dat oder nur ipfilter.

Hier mal noch ein link, auf den ich beim Recherchieren gestossen bin:
http://www.unixhub.com/block.html

[kingkaramel]

hallo allerseits!

Die eingangs erläuterte Probematik gewinnt derzeit weiter an Bedeutung, und auch wenn eMule seit Wintermute gut zu schützen ist, möchte man diesen Schutz sicher auch für andere Programme haben. Das gilt nicht nur für P2P, sondern auch für diejenigen, die ihre z.B. ihre Adobe- oder Office-Produkte von der Kontaktaufnahme mit zuhause abhalten wollen, damit in keinem Fall sensible Daten übertragen werden.

Das eingangs erwähnte PeerGuardian bietet eine solche Möglichkeit, ist aber ein Ressourcenfresser ohne gleichen. Bis zu 100% CPU-Last und 50, 60MB Speicher braucht PeerGuardian gerne mal. Seit ein paar Wochen gibt es eine Alternative: Protowall. Der Ressourcenverbrauch liegt auf einem aktuellen System bei 0-1% Prozessorlast und etwa 6MB Speicher.

Der Grund: Protowall wird als Netzwerkdienst eingebunden, läuft also auf Treiberebene und setzt früh im Datenfluß an. Im Gegensatz zu PeerGuardian, das nur TCP und UDP filtert, blockt Protowall eine lange Liste diverser Übertragungsprotokolle mit Hilfe einer IP-Liste. Diese IP-Liste wird vom Programm auf Wunsch automatisch aktualisiert.

Durch gute Log-Funktionen wird der Datenfluss sichtbar gemacht und ist so kontrollierbar!

Die Standard-IP-Liste ist auf P2P-Anwendungen zugeschnitten, kann aber durch andere erstetz werden. Das separate Programm Blocklist-Manager, in das ProtoWall voll integriert ist (AutoExport), ermöglicht jedem User die Anpassung des IP-Listeninhalts an eigene Bedürfnisse.

Mehr Infos und technische Details gibt es im ProtoWall-Thread dieses Boards.

Vorbeischauen lohnt sich!

kingkaramel

[cosmic girl]

Danke an kingkaramel für sein Engagement in dieser Angelegenheit - habe den 1. post updated mit den neuen Informationen.

Alle Fragen zu dem neuen tool bitte in dem von kingkaramel eröffneten thread stellen, den er hier verlinkt hat.