PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Edonkey in den Logfiles



Seiten : [1] 2

HangLoose
11.12.02, 00:25
moin moin

mir gehen schon seit längerem die edonkey anfragen in den log's auf den kek's. wirklich wichtige sachen gehen in den logdateien einfach unter, weil diese regelrecht geflutet werden.

deshalb war ich schon seit geraumer zeit auf der suche nach einer lösung für das problem. experimente mit snort etc. brachten nicht das gewünschte ergebnis.

dabei ist das ganze so simpel und wahrscheinlich kennen die meisten auch schon die lösung ;). hier im board konnte ich allerdings nichts darüber finden. kann aber sein , das ich einfach bloß wieder zu blöd war, die suche richtig zu nutzen :D

lange rede kurzer sinn.

bei iptables kann man durch ein ! eine option auch negieren. also ist es auch möglich den von edonkey verwendeten --dport 4662 zu negieren und damit vom logging auszuschließen. das ganze könnte dann folgendermaßen aussehen.

iptables -A MY_REJECT -p tcp --dport ! 4662 -j LOG --log-prefix "REJECT TCP "


voila edonkey taucht in den log's nicht mehr auf. :)


Gruß HL

CEROG
11.12.02, 05:17
Hallo HangLoose,

bei mir wird das ganze hauptsächlich von Port 137 geflutet, obwohl der edonkey auch nervig ist.

Vielen Dank für den Tip.

Viele Grüße,

CEROG

HangLoose
11.12.02, 11:10
Hi CEROG

die anfragen auf port 137 kommen doch als udp rein, oder meinst du was anderes?

iptables -A MY_REJECT -p udp --dport ! 137 -j LOG --log-prefix "REJECT UDP "

und schon solltest du ruhe haben :)

iptables kennt auch noch die erweiterung multiport. damit ist es möglich nicht zusammenhängende portbereiche anzugeben.

bsp. => -m multiport --dport 20, 80, 8080

allerdings sieht es so aus, das man bei multiport keine negation anwenden kann.


Gruß HL

CEROG
11.12.02, 17:44
Hallo HangLoose,

die Einträge in meinem Firewall-Log sehen in der Regel so aus:

Dec 11 17:34:33 linux kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=200.251.39.154 DST=62.158.60.36 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=63559 PROTO=UDP SPT=1025 DPT=137 LEN=58

Ich lasse diese Connect-Versuche also schon gar nicht zu. Das Problem ist, daß durch die häufigen Versuche auf Port 137 zuzugreifen, andere Einträge überdeckt werden.

Zusätzlich zu diesen Zugriffen finden sich noch andere, die relativ schwierig zu finden sind, aber durchaus Hinweise auf Schwachstellen in der Firewall geben können (z.B. Zugriffe auf Port 80, die von der Firewall akzeptiert werden, obwohl sie unerwünscht sind).

Viele Grüße,
CEROG

HangLoose
11.12.02, 17:57
Hi CEROG


Dec 11 17:34:33 linux kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=200.251.39.154 DST=62.158.60.36 LEN=78 TOS=0x00 PREC=0x00 TTL=116 ID=63559 PROTO=UDP SPT=1025 DPT=137 LEN=58


protokoll => udp

also sollte es keine probleme geben, diese anfragen aus den log's rauszuhalten. edonkey verwendet ja tcp.

für edonkey

iptables -A MY_REJECT -p tcp --dport ! 4662 -j LOG --log-prefix "REJECT TCP "

für netbios

iptables -A MY_REJECT -p udp --dport ! 137 -j LOG --log-prefix "REJECT UDP "


was mir bis jetzt noch nicht gelungen ist, mittels der multiport erweiterung mehrere ports zu negieren und damit vom logging auszuschließen.

iptables -A MY_REJECT -p udp -m multiport --dport ! 137, 6790 -j LOG --log-prefix "REJECT UDP "

da liefert iptables eine fehlermeldung.


Gruß HL

HangLoose
11.12.02, 18:05
argh :cool:

ich seh grade, du verwendest die susefirewall. die verwendet ja ihren eigenen *logging mechanismus*. eventuell kann man ja die variablen dafür auskommentieren oder auf off setzen und am schluß des scripts eigene logging regeln definieren.


Gruß HL

CEROG
11.12.02, 18:13
Hallo HangLoose,

ich verwende zwar die SuSEfirewall2, hab aber bereits erste Modifikationen, weil doch einige Pakete auf Port 80 durchgekommen sind.
SuSE hat die Regeln so gestaltet, daß sie dynamisch ein und ausgeschaktet werden können (sieht zumindest so aus). Dadurch kamen Pakete durch, die für einen Verbindungsaufbau gedacht waren.
Derartige Sachen halte ich für Schwachstellen. Da jedoch einige interesante Features in dem PAketfilter zu sein scheinen, werde ich sie mir nach und nach umstricken.

Viele Grüße,
CEROG

HangLoose
11.12.02, 18:16
hi

dann probier es mal aus, es funzt wirklich ;)


Gruß HL

Stormbringer
11.12.02, 20:55
Hi,

wie wäre es, wenn Du den Müll per iptables mirror (man iptables) Funktion zurückwirfst, und denen so ihre eigene Bandbreite etwas verringerst? ;)
In der FW2 kann man auch ein eigenes Konfigskript angeben, aus welchem dann eigene Regeln gelesen werden - /sbin/SuSEfirewall2, Punkt FW_CUSTOMRULES="".

Gruß

CEROG
11.12.02, 21:02
Hallo Stormbringer,

dagegen sprechen meiner Meinung nach 2 Gründe:

1. Ich habe die Meldungen immer noch in meinem Log

2. Es besteht (theoretisch) auch die Möglichkeit, daß die Surce-IP gespooft ist. Und dann würde es den Falschen treffen.

Viele Grüße,
CEROG

HangLoose
11.12.02, 23:08
Hi Stormbringer

an irgendwelche *vergeltungsmaßnahmen* hab ich schon öfter gedacht :D:D:D

zumal ich extra von DROP auf REJECT umgestellt habe, das interessiert die *jungs* aber gar nicht.


Gruß HL

rabenkind
13.01.03, 13:04
hi to all

@CEROG
1. Ich habe die Meldungen immer noch in meinem Log das ist falsch, wenn du packete mit mirror zurüchsendest tauchen sie nicht in den logs auf. die gründe dafür sind in man iptables aufgeführt (loopgefahr).


2. Es besteht (theoretisch) auch die Möglichkeit, daß die Surce-IP gespooft ist. Und dann würde es den Falschen treffen. mag sein aber die 0,1% sind mir egal, ausserdem richtet man mit mirror keinen schaden an :)

ich verwende MIRROR für ne menge ports, alles was meinen packetfilter mehr als 5mal trifft und in den logs auftaucht, wird per script ausgewertet und die ports mit spiegeln (mirror) beauftragt.
es dürfte zu 99,9% die richtigen treffen :D:D:D

@all

angreifen werde ich niemanden ist uncool, dann ist es mir nämlich nicht mehr egal wenn ich ausgerechnet einen von den 0,1% treffe :( aber den verkehr zurückwerfen ist soweit ok. obwohl mir das auch zuwider ist, weil es den inet-traffic mal wieder erhöht, aber die meisten scheren sich eh nicht um trafficvolumen, sonst würden sie mit edonkey und ähnlichem umsichtiger und effektiver umgehen.
ausserdem, mir ist es wichtiger das ich die logs vernünftig auswerten kann und dazu gehört nicht ca. 80% edonkey durchzuarbeiten (auch wenn das ein script macht).

greetz rabenkind :))

Jinto
13.01.03, 18:43
mag sein aber die 0,1% sind mir egal, ausserdem richtet man mit mirror keinen schaden an komische Argumentation, sich über den Traffik ärgern aber wenn er bei den falschen landet: egal
angreifen werde ich niemanden ist uncool, dann ist es mir nämlich nicht mehr egal wenn ich ausgerechnet einen von den 0,1% treffe Aber genau das machst du doch mit dem mirroring bzw. das ist deine Absicht dahinter.
aber die meisten scheren sich eh nicht um trafficvolumen, sonst würden sie mit edonkey und ähnlichem umsichtiger und effektiver umgehen. Der User eines Donkey-Clients kann nichts für die "fehlerhafte" Implementation, wobei einige absichtlich sehr unangenehme Einstellungen benutzen (worüber ich mich auch nicht freue).

Es wäre interessant zu wissen, welche Clients diesen Ärger verursachen um dem entsprechenden Entwickler eine Nachricht zukommen zu lassen. Das ist IMHO effizienter und ermöglicht das _alle_ zufriedener sind. Wobei man da einigen Entwicklern leider auch Blindheit bescheinigen muss, aber naja ....

Du solltest dir das mit dem Mirror nochmals überlegen, auch im eigenenen Interesse. DSL ist asynchron, derjenige der dir Anfragen schickt hat weit mehr Downstram als du ihm schicken kannst => der DOS trifft bei dir schneller zu als auf der Gegenseite (je mehr Leute du auf diese Weise angreifst, desto schlechte wird dein upstream und letztlich auch dein Downstream). Solltest du es doch schaffen seine Leitung zu blockieren, dann bist IMHO _du_ der Angreifer.

Gruß

CEROG
13.01.03, 19:03
Hallo rabenkind,

ich halte es für wenig sinnvoll, den Traffic im Netz mit derartigen Spielchen unnötig zu erhöhen. Bei meinem 56k-Modem dürfte dann auch sehr schnell derreicht sein, daß bei mir nichts mehr läuft.

Mit deiner Aussage:
...aber den verkehr zurückwerfen ist soweit ok. obwohl mir das auch zuwider ist, weil es den inet-traffic mal wieder erhöht,... zeigst du ja selber, daß dir der Traffic im Netz nicht egal ist.

Ausserdem denke ich, daß die meisten edonkey-User (und auch MS-Filesharing-User [Port137]) gar nicht wissen, was sie anrichten. Viele im Netz wissen gerade , wie sie ihren Computer ein- und ausschalten und die Programme starten.

Ich komme langsam zu der Ansicht, daß viele Logeinträge der Firewall darauf beruhen, daß IP-Adressen dynamisch vergeben werden und damit Leute Pakete geschickt kriegen, die sie gar nicht haben wollen.

Für mich ist der Weg, den Jinto vorschlägt der bessere.

Viele Grüße,
CEROG

rabenkind
13.01.03, 23:46
hi to all

@Jinto
Was ist an einem Argument das auf Mehrheitsverhältnissen aufbaut komisch?
Mit dem Unterstellen von Absichten wäre ich etwas vorsichtiger, was du dir dabei denkst ist deine Sache ;) . Ich benutze lediglich einen Teil eines Protokolles, mehr nicht.
@Jinto u. CEROG
Ich werde das Gefühl nicht los das Ihr das Problem (edonkey) und eventuelle Maßnahmen die Menschen treffen die sich dagegen schützen wollen so seht das sich die Geschädigten um eine Lösung bemühen sollen, also bitte ja!

@all
Die Verursacher sind die edonkey User, diese sollten sich darum bemühen das sie einwandfreie Software benutzen und nicht andere Netzbenutzer belästigen! Ich sehe diese unzähligen Anfragen inzwischen als DOS an. Schließlich liegt die Verantwortung bei jedem einzelnen, die edonkey User gehen mit dieser Verantwortung mehr als nur fahrlässig um.
Da ich leider keine Möglichkeit habe dagegen rechtlich vorzugehen oder mich an Organisationen wie abuse.org zu wenden greife ich lediglich zur Selbsthilfe.

Nochmals in aller Deutlichkeit die edonkey User verursachen die Probleme somit sind diese gefragt Abhilfe zu schaffen.

Solange dies nicht der Fall ist werde ich mir einen elektronischen Aufkleber auf meinen Packetfilter machen, der da "mirror alias Werbung nein danke" heißt oder Klingelmännchen nicht mit mir.

@Jinto
Du schreibst ich würde damit vielleicht einen Falschen treffen und was ist mit mir, ich werde jeden Tag hundertfach davon getroffen!
Das bisschen Bandbreite das ich beim mirroring einbüße "hahaha egal". Andere die davon betroffen sind können sich gerne mit mir zusammentun und eine neue abuse(donkey).org gegen diese Art von Spam gründen.
Solange ich mit dieser Art von DOS angegriffen werde, wehre ich mich auf passive Art und Weise vermittels der einfachen Anwendung eines Iptables Protokolls. Deine Unsterstellung darin einen Angriff meinerseits auf Andere zu sehen finde ich schlicht unverschämt.

@CEROG
Mag sein das der Weg den Jinto vorschlägt der "bessere" ist, schließlich nutzt er selber edonkey, sollte sich also auch über das was Er da tut Gedanken machen (was ich bei Jinto ja auch glaube :) ). Nur solange es ist wie es ist werde ich jedes legale Mittel anwenden um "meine" Unversehrtheit und Sicherheit zu gewährleisten. Dazu gehört für mich die Abwendung von jeder Art von Belästigung. Schließlich sende ich auch Spam der auf die Verursacher schließen lässt an die Abuse-Datenbank.
Das mit dem Traffic ist leider unvermeidlich, schließlich sehe ich nicht ein das dies alles zu meinen Lasten geht.

Hi Admin/Mod nichts für ungut, gehört jetzt ja eigentlich schon nicht mehr unbedingt zum Thema Sicherheit, aber vielleicht doch da es sich meines Erachtens um DOS handelt.

greetz rabenkind :))

Jinto
14.01.03, 00:39
@rabenkind

Deine Unsterstellung darin einen Angriff meinerseits auf Andere zu sehen finde ich schlicht unverschämtLass es mich umformulieren: Derjenige der diese Pakete zu sehen bekommt, könnte es wiederum als Angriff empfinden (so wie du die unnötigen Donkey Anfragen).


Du schreibst ich würde damit vielleicht einen Falschen treffen und was ist mit mir, ich werde jeden Tag hundertfach davon getroffen! Aber ich glaube von dir nicht, dass du das tatsächlich als Argumentation verwendest (mir fällt da gerade die Massenrehabilation in Illinios ein :)).

Ich bin deiner Ansicht, dass die Clients sich an den TCP/IP Standard zu halten haben und nach einer Anfrage den Client aus der Liste streichen sollten wenn sie die Aufforderung dazu bekommen (REJECT). Wäre es dir möglich mal ein paar dieser "unfreundlichen" Zeitgenossen zu scannen und zu schauen welchen Client sie verwenden? Ich würde die Konversation mit dem jeweiligen Programmierer versuchen (und auf Einsicht des selben zu hoffen).

Schwarze Schafe, die ihren Donkey "gut" (gut für sich schlecht für alle anderen) eingestellt haben, kommt man zwar so nicht bei aber es wäre immerhin ein Anfang den Traffik im Netz zu senken.


Solange dies nicht der Fall ist werde ich mir einen elektronischen Aufkleber auf meinen Packetfilter machen, der da "mirror alias Werbung nein danke" heißt oder Klingelmännchen nicht mit mir. Wie bereits geschrieben: Leider können die Autoren einiger Internetprogramme nicht lesen und ignorieren deshalb dein Schild (REJECT).

Als Donkey Nutzer habe ich z. B. das Problem, solche Anfragen betriebsbedingt nicht zu sehen (bin ja darauf angewiesen).


PS: Falls es dich interessiert: In der aktuellen ct (02/2003) ist ein Artikel wie man dem pppd beibringt trotz Traffik von aussen aufzulegen.

Nachtrag:
Du wirst dich vermutlich über das kommende overnet noch mehr ärgern :(

CEROG
14.01.03, 05:07
Hallo zusammen,

@rabenkind:
dazu, das man Verantwortung trägt, gehört auch daß man weiß worum es geht. und das ist bei mindestens 95% aller privaten User im Internet nicht vorauszusetzen.
Du gehst davon aus, daß alle im Internet wissen, was sie tun und was sie anderen damit für Probleme bereiten.

Dein Vorgehen ändert nichts an dem ganzen Problem. Die einzig sinnvolle ist, die Programme zu zu gestalten, daß sie möglichst wenig unnötigen traffic erzeugen. Und da scheint es zu hapern.
Ausserdem ist da noch meine These, daß die dynamische IP-Vergabe an vielen Anfragen (Connect-Versuchen) schuld ist.

Bei den vielen Nutzern des Internet muß es zu einem Miteinander der Nutzer kommen, oder das Netz versinkt im Traffic (-chaos).


Mir kommt deine Argumentationsweise insgesamt etwas widersprüchlich vor, du widersprichst dir teilweise selber.

Viele Grüße,
CEROG

B-52
14.01.03, 09:14
Original geschrieben von rabenkind


@all
Die Verursacher sind die edonkey User, diese sollten sich darum bemühen das sie einwandfreie Software benutzen und nicht andere Netzbenutzer belästigen! Ich sehe diese unzähligen Anfragen inzwischen als DOS an. Schließlich liegt die Verantwortung bei jedem einzelnen, die edonkey User gehen mit dieser Verantwortung mehr als nur fahrlässig um.
Da ich leider keine Möglichkeit habe dagegen rechtlich vorzugehen oder mich an Organisationen wie abuse.org zu wenden greife ich lediglich zur Selbsthilfe.

Nochmals in aller Deutlichkeit die edonkey User verursachen die Probleme somit sind diese gefragt Abhilfe zu schaffen.

Solange dies nicht der Fall ist werde ich mir einen elektronischen Aufkleber auf meinen Packetfilter machen, der da "mirror alias Werbung nein danke" heißt oder Klingelmännchen nicht mit mir.


Einfach alle über einen Kamm scheren, wie einfach das doch ist. Mit solch einer Argumentation müsste man jeden Windows-Nutzer welcher, aus welchem Grund auch immer, online ist sperren. Denn nicht nur der mld/edonkey/emule verursacht unnötigen Traffic. Es gibt noch viele andere Programme (und sogenannte OS) die sehr gesprächig sind und für sinnlosen Verkehr im Netz sorgen.

Richtig ist das etliche Leute die P2P-Programme einsetzen nicht wissen was sie da einstellen. Nach dem Motto "Mir das meiste" laufen viele Clients. Doch hier tut eher Aufklärung not als an den Pranger stellen. Aber das ist ja einfacher...

Sorry, aber pauschale Verurteilung läuft mir gegen den Strich.

Stormbringer
14.01.03, 09:33
Hallo!!!! Noch alle Sinne beisammen???? ;)

Aus welchem Grunde sollen nicht-donkey Nutzer für den auf der ihnen zugewiesenen ip Adresse für die schlechte donkey Software zahlen?
Wie wäre es, wenn sämtliche donkey Nutzer sich an den Onlinekosten der nicht-donkey user beteiligen würden? Oder würde sich donkey dann womöglich nicht mehr "lohnen"?

Es ist übrigens nicht ganz korrekt, lediglich vom MS Nutzern zu sprechen, da, so habe ich mir sagen lassen, gleichwohl auch bspw. Linuxkisten als Datenquelle dienen können, und diese somit die donekytechnik bewußt & absichtlich nutzen, vielleicht gar fördern.

Ausgesprochen komisch ist doch ebenfalls in diesem Zusammenhang, daß es kaum ungewollten traffic durch andere P-2-P Software gibt .....

Gruß

B-52
14.01.03, 09:47
<flame on>

Den Zusammenhang jetzt nicht begriffen? ;) - Nur mal so eine Frage.

<flame off>

Es ist uninteressant welcher Client hier als Datenquelle dient. Es ging mir nur gegen die pauschale Verurteilung von Esel-Nutzern. Das dabei aber auch anderes unnützen Traffic verursacht, habe ich anhand des meistgenutzten OS aufgezeigt. Und das nur Esel-Soft so hohen Traffic verursacht ist auch nicht ganz richtig, denn LimeWire (Java-Applikation) ist auch nicht besser. Also die Schuld nur auf den Esel als Trafficverursacher in P2P-Netzen zu schieben, ist wohl verkehrt.

rabenkind
14.01.03, 09:53
hi to all

@Jinto


Aber ich glaube von dir nicht, dass du das tatsächlich als Argumentation verwendest (mir fällt da gerade die Massenrehabilation in Illinios ein das verstehe ich nicht ganz?

scannen kann ich die, mache ich im laufe der woche mal mit einigen.


Du wirst dich vermutlich über das kommende overnet noch mehr ärgern ich werde tatsächlich eine abuse gegen solche Art Netzverkehr gründen, bin damit ja nicht alleine.

@CEROG

Dein Vorgehen ändert nichts an dem ganzen Problem. doch ich habe jetzt Ruhe vor denen, zumindest kann ich das mit den Logs machen wozu ich denke das sie da sind und muss nicht aberhunderte von edonkey Anfragen rausfiltern.

, du widersprichst dir teilweise selber. bitte nicht so allgemein, wenn du mir das vorwirfst dann doch auch bitte was/wo genau. :)

Ausserdem ist da noch meine These, daß die dynamische IP-Vergabe an vielen Anfragen (Connect-Versuchen) schuld ist. das ist eine Tatsache, dies ist wie Jinto mir mal bestätigt hat der Fall da die IP's vom edonkey gespeichert werden und beim nächsten Start ersteinmal alle abgefragt werden, frage mich halt nur wie lange, scheinbar ewig.

@B-52

Einfach alle über einen Kamm scheren, wie einfach das doch ist. Mit solch einer Argumentation müsste man jeden Windows-Nutzer welcher, aus welchem Grund auch immer, online ist sperren. Denn nicht nur der mld/edonkey/emule verursacht unnötigen Traffic. Es gibt noch viele andere Programme (und sogenannte OS) die sehr gesprächig sind und für sinnlosen Verkehr im Netz sorgen. Auf solche platten Aussagen lasse ich mich nicht ein.

Doch hier tut eher Aufklärung not als an den Pranger stellen. dann fang an deine Bekannten mit denen du edonkey benutzt aufzuklären, ich habe keine weil die Leute die ich kenne dieses Programm nicht benutzen.

so far greetz rabenkind :))

B-52
14.01.03, 10:17
Original geschrieben von rabenkind

@B-52
dann fang an deine Bekannten mit denen du edonkey benutzt aufzuklären, ich habe keine weil die Leute die ich kenne dieses Programm nicht benutzen.

so far greetz rabenkind :))

Meine "Bekannten" nutzen zwar auch eMule/eDonkey/mlDonkey, jedoch nicht mit Konfigurationen die unnötig Traffic verursachen. Wie heisst das so schön: Weniger ist manchmal mehr. Und so halte ich es im P2P-Netz. Ob ich auf ein File ein paar Tage länger warte ist mir egal.

Aber (und das dürfte wohl Dein Unmut hervorgerufen haben) es gibt leider 90% Esel-Nutzer die nicht so wie der Rest denken. Aufklärung in dieser Hinsicht wird in den einschlägigen Foren schon betrieben. Doch ob sich nun diese 90% daran halten oder nicht und entsprechende Empfehlungen ignorieren, lässt sich leider nicht kontrollieren. Erst solche Äusserungen ausserhalb der Esel-Foren (wie hier) lassen darauf schliessen wie es tatsächlich aussieht. Das in diesem Falle die schwarzen Schafe überwiegen ist schade. Aber einfach alle über einen Kamm zu scheren ist dennoch falsch.

B-52

Stormbringer
14.01.03, 10:20
@B-52
Nur werden von anderen Programmen bei weitem nicht so langandauernd große Datenpakete versendet ..... ;)
Übrigens: wie sieht es denn nun mit finanzieller Beteiligung an "donkey geplagten" aus?
Oder versagt an diesem ausgesprochen persönlichen Punkt das "community feeling"?

Gruß

B-52
14.01.03, 10:54
/me

Da hab ich ja was angefangen in diesem Thread zu antworten... Nun muss ich die Suppe auslöffeln ;)

@Stormbringer

Das solch große Datenpakete versandt werden liegt an falscher Konfiguration. Denn die Größe und auch der zeitliche Abstand zwischen zwei gesendeten Paketen lässt sich einstellen. Und wie ich bereits geschrieben habe: Die überwiegende Anzahl der Esel-Nutzer ist ebend der Meinung das viel gut ist.

Was die finanzielle Beteiligung betrifft, so habe ich kein Problem damit. Ich zahle ja auch meine Anteile an der GEMA obwohl andere das nicht machen. Doch wie soll das berechnet werden? Wer ist denn tatsächlich geschädigt und wer ist der Verursacher? Wie hoch ist z.B. mein Aufkommen am Gesamtvolumen? Liegt von mir eine Schädigung bei Dir vor? Falls ja, bitte ich um Dokumentation.

Stormbringer
14.01.03, 11:02
Aufgrund der Aufzeichnungspflicht der Provider sind die Nutzer eindeutig zuzuordnden.
Ergo gibt es da keine technischen Problemchen.

Und einem "geschädigten" kann doch letztlich das Warum egal sein - ob eine donkey user seine Software so oder so konfiguriert hat, ist letztlich auch wurscht. Fakt ist, daß die Software offenbar keine vernünftige timeout Regelung für die Kontaktaufnahme zu anderen donkey Systemen hat - denn anders lassen sich diese hunderte, manchmal gar tausende von Kontaktversuchen nicht wirklich erklären.

Gruß

B-52
14.01.03, 11:35
Die Zuordnung ist vielleicht kein großes Problem. Doch wie hoch willst Du dann den einzelnen finanziell in Regress nehmen?

Was die Timeout-Regelung betrifft, so gibt es diese. Ich kann zumindest ist beim mld (wie es bei eMule aussieht weiss ich nicht) genau einstellen wann ein Server/Client gelöscht wird weil er nicht innerhalb eines bestimmten Zeitraumes antwortet. Und somit vermeide ich Anfragen zu IP-Adressen die nicht mehr existent sind. Ein anderes Problem sind Serverlisten in denen massenweise IP's eingetragen sind, von denen aber nur 40% tatsächlich noch erreichbar sind. Viele der weltweiten Eseluser verlassaen sich sich auf solche Listen und somit hast Du wieder den unnötigen Traffic. Hinzu kommt schlecht oder garkein konfiguriertes Portforwarding, so das etliche Clients mit Low-ID unterwegs sind. Diese versuchen dann Server/Clients zu connecten und werden abgewiesen, da Low-ID-Clients zuviel Traffic verursachen.

Das Problem des extrem hohen Traffics ist bekannt. Es gibt inzwischen zwei Esel-Projekte die einen Core bauen der sowenig Betrieb im Netz verursacht wie möglich. Auch ist es bei einem Core überhaupt nicht mehr möglich mehr als einen Server zu connecten. Die vielen Bot-User haben somit schlechte Karten. Auch Server werden mit Patches nachgerüstet um "Mir alles"-User aus dem Netz zu bekommen. Doch das wird nicht von heute auf gestern zu schaffen sein.

Und habe ich Dich geschädigt oder nicht?

Stormbringer
14.01.03, 11:53
Mich nicht, da ich eine volumeunabhängige Flat habe.
Ein Freund hat eine 5GB Flat gehabt, und alleine Anfragen auf 4661 & 4662 lieferten im Oktober 2002 knappe 3,6GB Volumen bei ihm.
Hinzu kam dann noch jenes Volumen, welches er sich notiert hatte, und schwups, lag er bei knapp 6,8GB, und mußte deutlich zahlen.

Trotz alledem nervt es mich persönlich auch, daß etwas, was ich nicht haben will, Bandbreite verloren geht, und die logdateien zugemüllt werden, und somit womöglich relevante Einträge schnell übersehen werden. Selbst wenn man ein weiteres Skript nutzt, um diese Einträge herauszufiltern, bleibt mein Standpunkt: nicht ich als Empfänger ungewollten traffics bin Schuld daran, sondern jene, die den traffic generieren.

Gruß

B-52
14.01.03, 12:31
Original geschrieben von Stormbringer
Mich nicht, da ich eine volumeunabhängige Flat habe.

Gut, dann gehöre ich also nicht zu denen die Dir zusätzliche Kosten verursacht haben. Wollte ich nur wissen.


Ein Freund hat eine 5GB Flat gehabt, und alleine Anfragen auf 4661 & 4662 lieferten im Oktober 2002 knappe 3,6GB Volumen bei ihm.
Hinzu kam dann noch jenes Volumen, welches er sich notiert hatte, und schwups, lag er bei knapp 6,8GB, und mußte deutlich zahlen.

Da Du die Ports mit angegeben hast, so sind dies die Ports bei Standardkonfigurationen. Auf diesen Ports laufen nicht nur Clients, sondern auch sehr viele Server. Womit ich mit meiner Einschätzung, das viele Clients nur falsch konfiguriert sind, garnicht soweit daneben liege. Aber wenn man seine Firewall auf den bekannten Esel-Ports mit Deny konfiguriert, entsteht auch kein Traffic bei Anfragen. Wird aber mit Reject konfiguriert, so antwortet die Firewall. Unnötiger Traffic entsteht, welcher dann auch zu zusätzlichen Kosten führt. Das ist jetzt aber Haarspalterei, wer was und warum wie nicht oder doch gemacht hat.


Trotz alledem nervt es mich persönlich auch, daß etwas, was ich nicht haben will, Bandbreite verloren geht, und die logdateien zugemüllt werden, und somit womöglich relevante Einträge schnell übersehen werden. Selbst wenn man ein weiteres Skript nutzt, um diese Einträge herauszufiltern, bleibt mein Standpunkt: nicht ich als Empfänger ungewollten traffics bin Schuld daran, sondern jene, die den traffic generieren.

Gruß
Natürlich ist es nervig wenn ständig die Logdateien größer werden wegen nichts und wieder nichts. Das ist bei mir auch nicht anders. Nur hier sind es weniger Anfragen aus P2P-Netzen, sondern WINS und Portscans von Script-Kiddys. Soll ich die jetzt mit hohem Aufwand ausfindig machen und finanziell belangen? Ich glaube das lohnt nicht. Was Du willst ist das Verursacherprinzip. Dann müsste nicht der User herangezogen werden sondern der Schreiber der Software oder wenn man es genau nimmt, der/die Erfinder der P2P-Netzwerke.

Was mich jetzt aber doch wundert ist eines: Hier wurden in dem Thread die MLD-User öffentlich an den Pranger gestellt. Wo sind denn die vielen User? Trauen sie sich nicht zu antworten? Auch wurde öffentlich behauptet, das die MLD-User unnötigen Traffic und somit Kosten verursachen. Wo sind dann die vielen Tsd Geschädigten? Schon sehr seltsam...

Gruß B-52

rabenkind
14.01.03, 12:40
hi to all

@B-52


Es gibt inzwischen zwei Esel-Projekte die einen Core bauen der sowenig Betrieb im Netz verursacht wie möglich. Auch ist es bei einem.... Schön das etwas unternommen wird :D
Wird denke ich auch Zeit, das sich dies nicht von heut auf morgen bewerkstelligen lässt ist klar.
Könntest du vielleicht mal einen Link dazu posten?
Ausserdem das bei mir der Eindruck entsteht das sich "alle" donkey User so verhalten, wen wundert das, in den diversen Foren und sonstigem die ich durchforstet habe wird deine Aussage (Anfragehäufgkeit, Timeout usw. einstellen) mit keinem Wort erwähnt. Selbst auf den Seiten der donkey Hersteller (mir fällt kein besseres Wort ein) fehlen deutliche Hinweise darauf. Meine Emails dahingehend ob es so etwas wie aktuelle Listen oder eine Verwaltung selbiger gibt wurden nicht beachtet oder nicht verstanden. :( Auf einigen guten Seiten zu Email finden sich eine Menge Tips zur Vermeidung unnötigen Verkehrs bzw. falschem Gebrauch. Ich erwarte einfach das Programmierer solche Dinge wissen und beachten, daß ist aber scheinbar zu viel an Erwartung. Was aber nicht bedeutet das ich diese herunterschrauben werde.


Aber wenn man seine Firewall auf den bekannten Esel-Ports mit Deny konfiguriert, entsteht auch kein Traffic bei Anfragen. Wird aber mit Reject konfiguriert, so antwortet die Firewall. Falsch, da die Pakete in meinem Rechner ankommen (an der Firewall) werden sie physikalisch bis in meinen Anschluß geleitet sonst könnte meine Firewall sie nicht erfassen, kosten somit in jedem Fall Bandbreite.
Wo all die vielen sind, die werden hier kaum antworten, aber das Thema hatten wir schon oft genug! Suchfunktion!!

@all
Nichtsdestotrotz werde ich alle donkeys (egal wie sie heißen) weiter Spiegeln um sie aus meinen Logs rauszuhalten und ich denke das ist mein gutes Recht.
"GG Art. 2 Satz 1 ..., soweit er nicht die Rechte anderer verletzt." Ich sehe hier meine Rechte verletzt, die uneingeschränkte Nutzung meines Rechners (persönliches Eigentum, das ich zur Ausübung meines Berufes benötige) und des Internets das ich unter anderem sogar noch bezahlen muss. Die Nutzung des Internets wird durch diese Menschen (donkey User (natürlich nicht nur die), ich schränke es diesmal ein auf grob geschätzte 95%) für mich "schwieriger" (langsamer usw.) die Auswertung meiner Logs wird umfangreicher somit zeitaufwendiger.

Ich bin absolut gegen jede Art von Zensur im Internet :mad: , mein Ansinnen zielt mehr auf ein Miteinander ab, aber der Gebrauch bestimmter Programme darf nicht zu Lasten anderer gehen. Die Netze sind aber jetzt schon oft genug überlastet, dazu tragen solche Praktiken wie donkey (ständiger Datenstrom) oder Internettelefonie bei.

greetz rabenkind :))

Stormbringer
14.01.03, 12:50
Original geschrieben von B-52
Aber wenn man seine Firewall auf den bekannten Esel-Ports mit Deny konfiguriert, entsteht auch kein Traffic bei Anfragen. Wird aber mit Reject konfiguriert, so antwortet die Firewall. Unnötiger Traffic entsteht, welcher dann auch zu zusätzlichen Kosten führt. Das ist jetzt aber Haarspalterei, wer was und warum wie nicht oder doch gemacht hat.
Gruß B-52

Da liegst Du etwas leicht daneben ......
Berechnet wird der gesamte traffic, welcher über die Leitung geht: ankommender und abgehender.
Eine fw kann schließlich erst das ablehnen, was auch ankommt; dieses Ablehnen bezieht sich dann lediglich auf die fw (bzw. das LAN dahinter), nur wurde es bereits über den jeweiligen Anschluß zur fw hin geleitet.

Gruß