Re: [iptables] Eingehende Kazza-Anfragen blocken
Am 2004-01-05 07:01:47, schrieb Manfred Schmitt: Michelle Konzack [EMAIL PROTECTED] wrote: nachdem auch die lezte Nacht wieder aus der Domaine wanadoo.fr wieder über 2300 Anfragen kamen (meine IP wechselt alle 24 Stunden) möchte ich diesen Schrott direkt auf meinem Router mit Hilfe von 'iptables' blockieren... Wozu? Nun ja, mach ruhig... Kann mir jemand sagen, wie die rule aussehen muß ? Es gibt out of the box erstmal keine, das geht nur Inhaltsbasiert. Ich hab es nicht getestet aber ipt_p2p macht wohl das was Du moechtest: http://mega.ist.utl.pt/~filipe/ipt_p2p Nicht schlecht... Habs runtergeladen... Nur wieder mal gr Muß mir ne neueere Version von 'iptables' besorgen. Die in WOODY ist nur 1.2.6a-5 und es gibt nur patches für 1.2.8 und 1.2.9, aber dafür gibt es ja backports.org ;-) Und wech, Manne Grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
am Sun, dem 04.01.2004, um 16:35:25 +0100 mailte Michelle Konzack folgendes: nachdem auch die lezte Nacht wieder aus der Domaine wanadoo.fr wieder über 2300 Anfragen kamen (meine IP wechselt alle 24 Stunden) möchte ich diesen Schrott direkt auf meinem Router mit Hilfe von 'iptables' blockieren... Kann mir jemand sagen, wie die rule aussehen muß ? Das macht der doch sowieso, falls Du die Pakete nicht mittels Port-Forwarding irgendwohin schickst. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb: nachdem auch die lezte Nacht wieder aus der Domaine wanadoo.fr wieder über 2300 Anfragen kamen (meine IP wechselt alle 24 Stunden) möchte ich diesen Schrott direkt auf meinem Router mit Hilfe von 'iptables' blockieren... Die Requests kommen bei Dir auf Port 80 rein, da Du einen Webserver am Laufen hast. Um gute von bösen Request zu unterscheiden, müsste die Firewall den Inhalt der Pakete analysieren. Ich kenne mich mit iptables zwar nicht aus, habe aber Bedenken, ob es sonderlich effektiv ist, jeden HTTP-Request dort analysieren zu lassen (sofern das überhaupt geht). Dein Apache reagiert doch korrekt mit einem 404er Statuscode auf die Kazaa-Requests. Warum das nicht so lassen? Googeln bringt noch die vage Möglichkeit, duch Öffnen des Ports 1214 die Clients davon abhalten zu können, es mit Port 80 zu versuchen. Falls man dahinter ein Honigtöpfchen aufstellen würde, könnte das sogar funktionieren. -- Gruß, Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
am Sun, dem 04.01.2004, um 17:48:39 +0100 mailte Michelle Konzack folgendes: Am 2004-01-04 17:01:38, schrieb Andreas Kretschmer: Das macht der doch sowieso, falls Du die Pakete nicht mittels Port-Forwarding irgendwohin schickst. Ebend nicht, den ein 'iptables -vL' gibt mit nach einer Frischen installation ein ACCEPT für INPUT, FORWARD und OUTPUT zurück. ACCEPT heißt nix weiter, als das Pakete nicht an iptables abschmettern. Damit ist aber nicht gesagt, ob das System was damit anfängt. Ist kein Dienst da, der sich drum kümmert, reagiert der TCP/IP-Stack entsprechend. Du brauchts nur ein paar Netzwerkkarten einbauen, mehrere (Sub-)Netzwerke in '/etc/networking/interfaces' definieren und alles funktioniert und ist offen. Bei (Net,Free,Open)BSD ist im gegensatz zu Debian Absolut alles Dicht ! Quatsch. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Am 2004-01-04 17:19:47, schrieb Alexander Veit: Die Requests kommen bei Dir auf Port 80 rein, da Du einen Webserver am Laufen hast. Um gute von bösen Request zu unterscheiden, müsste die Firewall den Inhalt der Pakete analysieren. Ich kenne mich mit iptables zwar nicht aus, habe aber Bedenken, ob es sonderlich effektiv ist, jeden Kazza hat im Header der Pakete einen String, an dem man es identifizieren kann... Nur kann ich derzeit nicht ins Web um zu googeln und mein locales Mailinglist Archiv ist vollständig kompremiert, aus mangels eine größeren Festplatte (kriege ich vieleicht nächste woche) ! Habe mich hier igendwie ausgesperrt... smtp und imap gehen allerdings. HTTP-Request dort analysieren zu lassen (sofern das überhaupt geht). Dein Apache reagiert doch korrekt mit einem 404er Statuscode auf die Kazaa-Requests. Warum das nicht so lassen? Weil der loganalyzer bei den riesigen Logdateien ewige resourcen und zeit frißt. Mein Webserver ist leider KEIN Dual Athlon MP 2800... Googeln bringt noch die vage Möglichkeit, duch Öffnen des Ports 1214 die Clients davon abhalten zu können, es mit Port 80 zu versuchen. Falls man dahinter ein Honigtöpfchen aufstellen würde, könnte das sogar funktionieren. Das habe ich mit einem samba Server gemacht... Frag mich ja nicht, was da elles in den Logdateien drin stand und was die Leute da abgeladen haben (habe eine share mal public eingerichtet) Die verwenden einen einfach als NAS und laden mp3-Dateien und pics ab. Gruß, Alex Güße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
On Sun, Jan 04, 2004 at 06:43:28PM +0100, Michelle Konzack wrote: Weil der loganalyzer bei den riesigen Logdateien ewige resourcen und zeit frißt. Mein Webserver ist leider KEIN Dual Athlon MP 2800... Man kann die unterwünschten Einträge vorher rausgreppen. Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb: [...] Googeln bringt noch die vage Möglichkeit, duch Öffnen des Ports 1214 die Clients davon abhalten zu können, es mit Port 80 zu versuchen. Falls man dahinter ein Honigtöpfchen aufstellen würde, könnte das sogar funktionieren. Das habe ich mit einem samba Server gemacht... Frag mich ja nicht, was da elles in den Logdateien drin stand und was die Leute da abgeladen haben (habe eine share mal public eingerichtet) Nein, bloß keinen echten Filesharing-Server auf 1214 horchen lassen. Ich kenne das Kazaa-Protokoll auch nicht so genau, die von Dir beschriebenen GET-Anfragen könnte man aber an Port 1214 von einem über den inetd angesteuerten Script schön langsam mit einem 'Hallo Welt' oder so beantworten lassen. -- Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Am 2004-01-04 19:48:35, schrieb Torsten Schneider: Man kann die unterwünschten Einträge vorher rausgreppen. Ist mir schon klar, aber wie und nach was ? In der Logdatei ist mindestens 80% Müll. Da ist es doch sinnvoller, die ganze Kacke schon auf dem Router zu unterbinden, was ja auch gleichzeitig die Sicherheit erhöht. Grüße, Torsten Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Am 2004-01-04 19:54:23, schrieb Alexander Veit: Michelle Konzack schrieb: Das habe ich mit einem samba Server gemacht... Frag mich ja nicht, was da elles in den Logdateien drin stand und was die Leute da abgeladen haben (habe eine share mal public eingerichtet) Nein, bloß keinen echten Filesharing-Server auf 1214 horchen lassen. ;-) Is aber echt interssant, was da für illegales Zeugs auf Deiner Kiste landet... Man muß nur warten ! Dann richtest Du noch der PoPolizei einen privaten Accounnt auf die Protocoldaeien ein... natürlich gegen Aufwandsentschädigung... ;-) Ich kenne das Kazaa-Protokoll auch nicht so genau, die von Dir beschriebenen GET-Anfragen könnte man aber an Port 1214 von einem über den inetd angesteuerten Script schön langsam mit einem 'Hallo Welt' oder so beantworten lassen. Sowas würde mich schon mal interessieren... Alle Ports die Nicht verwendert werden mit Dummies/Fakes belegen ;-) Alex Grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
On Sun, Jan 04, 2004 at 08:54:30PM +0100, Michelle Konzack wrote: Ist mir schon klar, aber wie und nach was ? man grep, interessant ist die Option -v Da ist es doch sinnvoller, die ganze Kacke schon auf dem Router zu unterbinden, was ja auch gleichzeitig die Sicherheit erhöht. Wieso sollte das die Sicherheit erhöhen? Kann dem Server doch eh nicht anhaben. Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Torsten Schneider schrieb: Da ist es doch sinnvoller, die ganze Kacke schon auf dem Router zu unterbinden, was ja auch gleichzeitig die Sicherheit erhöht. Wieso sollte das die Sicherheit erhöhen? Kann dem Server doch eh nicht anhaben. Stimmt. Den Traffic auf dem Router zu unterbinden, verringert aber die Sicherheit gewiß nicht. Also wird sie erhöht. Sich auf diesen Standpunkt zu stellen, ist nicht verkehrt. -- Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Am 2004-01-04 21:34:41, schrieb Torsten Schneider: On Sun, Jan 04, 2004 at 08:54:30PM +0100, Michelle Konzack wrote: Ist mir schon klar, aber wie und nach was ? man grep, interessant ist die Option -v Das war daneben ! - Das meinte ich nicht. Wie grep funktioniert weis ich, aber nach was willst Du grepen ? Du mut ja erst mal wissen, was er überhaupt nehmen soll... Oder einfach alles was ! .hash= ist ignorieren ? Das ist daneben... Damit kannst Du dann eventuelle Sicherheitsprobeme nicht erkennen. Mir ist die Sache mit iptables auf dem Router wesentlich sichrer auch wenn ich mir noch eine Slaflose Nacht um die ohren hauen muß. Bin gestern früh un 5:00 von einem Kunden aus dem Bett geschmissen worden und heute früh um 8:30 ins Bett gegangen. Morgen ist Montag und ich habe um 8:00 ein RDV... grrr ! Jetzt Habe ich ne ADSL-Flat und mein Webserver sowie courier-imap sind nicht erreichbar... Da ist es doch sinnvoller, die ganze Kacke schon auf dem Router zu unterbinden, was ja auch gleichzeitig die Sicherheit erhöht. Wieso sollte das die Sicherheit erhöhen? Kann dem Server doch eh nicht anhaben. Jetzt ! wenn Du mit grep den Contents einer Logdatei vorfilterst weil 80% Schrott drin ist, bedeutet das, das dieser Schrot quer durchs netzwerk geistert ohne das Du es beim filtern registierst. Jetzt laß mal einen Cracker dabei sein... Da will ich lieder das Logging noch verstärken, aber den Schrott daran hindern in mein ppp0 zu passieren. Alles andere ist Müll ! Grüße, Torsten Grüße Michelle in die Tischkante beißend -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
On Sun, Jan 04, 2004 at 10:37:13PM +0100, Michelle Konzack wrote: Oder einfach alles was ! .hash= ist ignorieren ? Ja Das ist daneben... Damit kannst Du dann eventuelle Sicherheitsprobeme nicht erkennen. Sicherheitsprobleme erkennt man überall, aber nicht an den Webstatistiken. Wenn ich mich recht entsinne, hast du dich beschwert, dass die dadurch so lange durchlaufen, vermutlich, weil die DNS-Anfragen ewig und drei Tage dauern. Mir ist die Sache mit iptables auf dem Router wesentlich sichrer auch wenn ich mir noch eine Slaflose Nacht um die ohren hauen muß. Dafür braucht man eigentlich keine Nacht... Bin gestern früh un 5:00 von einem Kunden aus dem Bett geschmissen worden und heute früh um 8:30 ins Bett gegangen. Morgen ist Montag und ich habe um 8:00 ein RDV... grrr ! Dazu kann ich ja herzlich wenig. Wieso sollte das die Sicherheit erhöhen? Kann dem Server doch eh nicht anhaben. Jetzt ! wenn Du mit grep den Contents einer Logdatei vorfilterst weil 80% Schrott drin ist, bedeutet das, das dieser Schrot quer durchs netzwerk geistert ohne das Du es beim filtern registierst. Jetzt laß mal einen Cracker dabei sein... Einen Cracker? Was soll denn das sein? Und wie soll der irgendwo ansetzen? Denke bitte erst mal nach, was du schreibst. Das Trafficargument lass ich gelten. Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack schrieb:
[...]
Sowas würde mich schon mal interessieren...
Alle Ports die Nicht verwendert werden mit Dummies/Fakes belegen ;-)
Wenn's Dir Spaß macht... So könnte es gehen:
xinetd installieren (oder inetd), unix2dos installieren, die Datei
--- schnipp kazaatchok ---
#!/bin/sh
SLEEP=3
unix2dos EOH
HTTP/1.1 200 OK
Date: `date -R`
Server: Kazaatchok
Connection: close
Last-Modified: Tue, 01 Apr 2003 00:00:00 GMT
X-Kazaa-Username: dodo
X-Kazaa-Network: KaZaA
Content-Type: text/plain
Content-Length: 10
EOH
echo -n H
sleep $SLEEP
echo -n a
sleep $SLEEP
echo -n l
sleep $SLEEP
echo -n l
sleep $SLEEP
echo -e 'o\r\n'
--- schnapp kazaatchok ---
irgendwo ablegen, ausführbar machen, Berechtigungen geeignet setzen. In
etc/xinetd.d/ die Datei
--- schnipp kazaa ---
service kazaa
{
socket_type = stream
protocol= tcp
user= deinuser
wait= no
disable = no
server = /dein/pfad/kazaatchok
}
--- schnapp kazaa ---
ablegen, /dein/pfad und deinuser geeignet setzten (!= root).
xinetd starten, mit
# telnet deinserver 1214
testen.
Mit tcpdump o.ä. schauen, ob die Tölpel auch darauf hereinfallen.
Sollte es funktionieren, kannst Du die Response in die Länge ziehen, indem
Du $SLEEP vergrößerst.
--
Gruß,
Alex
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack [EMAIL PROTECTED] wrote: nachdem auch die lezte Nacht wieder aus der Domaine wanadoo.fr wieder über 2300 Anfragen kamen (meine IP wechselt alle 24 Stunden) möchte ich diesen Schrott direkt auf meinem Router mit Hilfe von 'iptables' blockieren... Wozu? Nun ja, mach ruhig... Kann mir jemand sagen, wie die rule aussehen muß ? Es gibt out of the box erstmal keine, das geht nur Inhaltsbasiert. Ich hab es nicht getestet aber ipt_p2p macht wohl das was Du moechtest: http://mega.ist.utl.pt/~filipe/ipt_p2p Und wech, Manne -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [iptables] Eingehende Kazza-Anfragen blocken
Michelle Konzack [EMAIL PROTECTED] wrote: Jetzt Habe ich ne ADSL-Flat und mein Webserver sowie courier-imap sind nicht erreichbar... Wegen 2300 Anfragen in einer Nacht? Du musst komisches adsl haben, das sind ja gerade mal 4,8 Anfragen pro Minute wenn man von einer 8 Stunden Nacht ausgeht. Und wech, Manne -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
