Zum Inhalt springen

emule identifizieren

daking

Von daking
in Security

 Teilen

Empfohlene Beiträge

taschentoast

taschentoast

Geschrieben
Geschrieben

ungeprüft vom google archiv:

# eDonkey

# state: good

# method: hex strings (0xE3 xx xx 0x00 0x00 0x01 , 0xC5 xx xx 0x00 0x00 0x01)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|e3|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002001; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|c5|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002002; rev:1;)

Warnung: Sobald Tunnel eingesetzt werden, hast du verloren :)

Gruß

taschentoast

Link zu diesem Kommentar
Auf anderen Seiten teilen
daking

daking

Geschrieben
  • Autor
Geschrieben

Hallo,

mit manchen Cisco Produkten (BBSM) hat man dummerweise das Problem diesen Traffic nicht accounten zu können. Nun hat man das Problem bei Volumen Vertägen keine genaue Abrechnung machen zu können.

Es gibt meiner meinung nach nur zwei Möglichkeiten dies einigermassen (temporär) in den Griff zu kriegen.

1. dynamisches Blocking via Accesslist

2. Traffic Shaping auf nicht mehr angenehme werte (100Mbit auf 10Kbit) via user based policing oder Traffic Klassen (Gold/Silber/Bronze) => Cat4k+Sup4 Cat6k+Sup750

Das Problem bei der Sache ist nur, dass ich keine Möglichkeit habe diesen Traffic zu identifizieren. Normalerweise solte es möglich sein ein definiertes Protokoll an seinen Eigenheiten zu identifizieren (@taschentoast: werde deine Signature testen), z.B. mit Snort.

Ein Accounting dieser Datenströme ist im Moment nur mit den neuen Cisco AZR + SSG Produkten (IOS based) in Verbindung mit dem ACS möglich.

Nur dumm wenn man die alte Lösung schon im Einsatz hat (;-)

Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?!

Thankz

Link zu diesem Kommentar
Auf anderen Seiten teilen
daking

daking

Geschrieben
  • Autor
Geschrieben

Hallo

this locks good!

08.07.2004 00:11 10.1.100.2 Alert snort: [1:1002002:1] eDonkey traffic [Classification: Potential Corporate Privacy Violation] [Priority: 1]: {TCP} 62.163.200.117:4662 -> 10.1.100.2:1364

Na ja noch auf def Ports.

Mal im LAB checken ob auch mit dyn ACL klappt (:-))

Ciao

Link zu diesem Kommentar
Auf anderen Seiten teilen
taschentoast

taschentoast

Geschrieben
Geschrieben

Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?!

Von Cisco hab ich keine Ahnung :)

Aber bei meinem Link hats noch ein paar Signaturen mehr zu P2P-Protokollen.

Scheint auch mit dynamischen Ports zu funktionieren, die Sigs sehen mir jedenfalls danach aus.

Viel Spaß noch

taschentoast

Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 1 Jahr später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...