Hallo! Ich habe aufgrund einer saftigen Rechnung meines ISP's und meinem Firewall-log bemerkt, daß ich letzten Monat knapp 4 Tage lang dauer-online war. Schuld waren unaufhörliche Requests auf den Port 4665, vermutlich durch eDonkey Anfragen. Da ich selber eDonkey nicht verwende, vermute ich, daß ich die IP eines Servers geerbt habe und deshalb dieser Traffic zustande kam. :-( Recherchen im Netz haben ergeben, daß so etwas tatsächlich vorkommt. Leider habe ich keine Lösungsansätze gefunden. Ich verwende einen Debian Server als Router mit isdn4linux und dial-on-demand. Meine Firewall hat alle Anfragen mit DENY abgewendet aber die Verbindung wurd nie geschlossen, weil immer wieder neue Anfragen traffic auf dem Isdn-Device erzeugt haben. Deshalb meine Frage, hat jemand ähnliches erlebt, oder eine Idee wie man so etwas in Zukunft verhindern könnte? Ich frage mich ob, es eine Möglichkeit gibt, die Verbindung zu beenden wenn ich einer bestimmten Zeit keine Pakete von innen geschickt wurden (als letzte Rettung sozusagen)? Bringt es vielleicht etwas die Pakete zu REJECT'en anstatt zu DENY'en? Ich wäre für jede Hilfe dankbar!! Dennis
Hi Dennis, rejecte mal die Pakete erscheint mir sinnvoller zu sein. Rejecten ist sowas wie "hör auf die Pakete zu senden, ich will den Sche*** nicht und Du kannst die Dinger direkt behalten" :-) Gruß Sebastian
Hallo Sebastian, hallo Dennis, Am 13. Apr 2002, 18:46 Uhr schrieb Sebastian Wolfgarten:
Hi Dennis,
rejecte mal die Pakete erscheint mir sinnvoller zu sein. Rejecten ist sowas wie "hör auf die Pakete zu senden, ich will den Sche*** nicht und Du kannst die Dinger direkt behalten" :-)
Ne, nützt leider nichts: ich habe nach drei Tagen erfolglosen REJECTs wieder auf DENY zurückgesetzt. Diese sch**ss Software kümmert sich offensichtlich nicht im mindesten darum, ob ihre Pakete "entsorgt" oder abgelehnt werden... Gruß Rudi -- Where a calculator on the ENIAC is equipped with 18,000 vacuum tubes and weights 30 tones, computers in the future by the year 2000 may have only 1,000 vacuum tubes and weigh only 1.5 tons. [Popular Mechanics, March 1949]
hi ! wie wäre es denn als workaround das ip-up-skript etwas zu ändern: da es sich ja wohl nur um eine ip# handelt kann man doch beim ip-up nachsehen, ob es diese ist. wenn ja - auflegen und nochmal anrufen wenn nein - ok, dann weitersurfen ist zwar nicht elegant, aber es würde funktionieren grüsse stephan
Ne, nützt leider nichts: ich habe nach drei Tagen erfolglosen REJECTs wieder auf DENY zurückgesetzt. Diese sch**ss Software kümmert sich offensichtlich nicht im mindesten darum, ob ihre Pakete "entsorgt" oder abgelehnt werden...
Hallo Rudolf, On Sunday 14 April 2002 10:19, Rudolf Buerger wrote:
Hallo Sebastian, hallo Dennis,
Am 13. Apr 2002, 18:46 Uhr schrieb Sebastian Wolfgarten:
Hi Dennis,
rejecte mal die Pakete erscheint mir sinnvoller zu sein. Rejecten ist sowas wie "hör auf die Pakete zu senden, ich will den Sche*** nicht und Du kannst die Dinger direkt behalten" :-)
Ne, nützt leider nichts: ich habe nach drei Tagen erfolglosen REJECTs wieder auf DENY zurückgesetzt. Diese sch**ss Software kümmert sich offensichtlich nicht im mindesten darum, ob ihre Pakete "entsorgt" oder abgelehnt werden...
Hast Du eine statische IP oder bekommst Du die dyn. zugewiesen. Wenn Du die dynamisch zugewiesen bekommst, dann dürfte es doch reichen, mal den Stecker zu ziehen ein paar Minuten warten und dann erneut reingehen. Dann hast Du ne neue IP und das mit eDonkey dürfte doch erledigt sein oder ist das so nicht möglich? cu Thomas -- DSL Flat für 29,95 Euro inkl. Domain http://www.thofi-shop.de
Mir fällt aus Work-Arround nur ein,, mit einem Script das Firewall-log auf solche Requests zu durchsuchen und wenn die überhand nehmen, die Verbindung zu kappen und gleich wieder neu aufzubauen um so zu einer neuen IP zu gelangen. Alexander
Hi! Erstmal danke für Eure Tips! :-) Das mit dem REJECT habe ich mir gedacht. :-( Allerdings hatte ich gehofft, daß eDonkey's Server vernünftig programmiert worden wären - dem scheint ja jetzt nicht so. Stephan, ich denke Dein Tip würde nicht funktionieren. Da es sich um dynamische Adressen handelt könnte der "Übeltäter" ebenfalls eine beliebige Adresse zugewiesen bekommen. Damit wäre alles beim alten. Interessanter, aber auch komplizierter, finde ich Alexanders Tip. Wenn ich Dich richtig verstehe müßte man dieses Skript als Cron-Job periodisch aufrufen oder im IP-UP Skript zeitverzögert starten, damit man gleich prüfen kann ob man bombardiert wird. Ich bin leider kein Experte in Skriptsprachen aber das könnte man versuchen. Was meint Ihr, nimmt man am besten ein Bash-Skript oder besser Perl, etc.? Hat jemand einen Tip wie man die Log-Datei parsen könnte? Außerdem wird derzeit alles in /var/log/messages geschrieben. Hat jemand auf die schnelle einen Tip parat wie man evtl. Firewall-Meldungen einer Session noch in eine andere Log-Datei schreiben kann (dann muß ich nicht ewig suchen :)? Ciao! Dennis
Hallo Thomas, Am 14. Apr 2002, 10:40 Uhr schrieb Thomas Fick:
Hast Du eine statische IP oder bekommst Du die dyn. zugewiesen. Wenn Du die dynamisch zugewiesen bekommst, dann dürfte es doch reichen, mal den Stecker zu ziehen ein paar Minuten warten und dann erneut reingehen. Dann hast Du ne neue IP und das mit eDonkey dürfte doch erledigt sein oder ist das so nicht möglich?
Natürlich ist das möglich: rcpppoed restart (richtig: ich verwende kein ISDN, sondern DSL - aber das Problem ist prizipiell latürnich das gleiche). Als Kunde der Telebimm bekomme ich natürlich IP-Nrn. per DHCP. Trotzdem habe ich manchmal das Gefühl, diese EDonkeys verfolgen mich... Bei mir laufen verschiedene Cron-Jobs, die sich automatisch "einwählen" (ich weiß: gibt's bei DSL nicht), um Mails etc. abzuholen. Da passiert's dann schon mal, daß Online-Zeiten von > 600 min. auftreten, weil mein Rechner just zu diesem Zeitpunkt von einem EDonkey-Client "erwischt" wird und anschließend stundenlang die /var/log/firewall zumüllt. Ohne Flatrate hätte ich wohl schon 'ne Hypothek auf meine Wohnung aufnehmen dürfen :-( Gruß Rudi -- Bitte beachten Sie, dass gerade auf der Windows(tm) Plattform jede kleine Veränderung und/oder Installation zu nachhaltigen Systemstörungen führen kann. [Tipp der 1822direkt auf deren Online-Banking Seiten]
Hallo Dennis, Am 14. Apr 2002, 13:22 Uhr schrieb Dennis Jarosch:
Außerdem wird derzeit alles in /var/log/messages geschrieben. Hat jemand auf die schnelle einen Tip parat wie man evtl. Firewall-Meldungen einer Session noch in eine andere Log-Datei schreiben kann (dann muß ich nicht ewig suchen :)?
Hast Du keine /var/log/firewall ? (bei mir: Eintrag "kern.* -/var/log/firewall" in /etc/syslog.conf). Gruß Rudi -- "nobody is perfect." [Nobody]
participants (6)
-
AS
-
Dennis Jarosch
-
Rudolf Buerger
-
Sebastian Wolfgarten
-
Stephan Siering
-
Thomas Fick