daking Geschrieben 6. Juli 2004 Geschrieben 6. Juli 2004 Hallo zusammen, gibt es eine möglichkeit mit snort emule zu erkennen (signature) ? Auch mit dynamischen Ports? Danke
taschentoast Geschrieben 7. Juli 2004 Geschrieben 7. Juli 2004 ungeprüft vom google archiv: # eDonkey # state: good # method: hex strings (0xE3 xx xx 0x00 0x00 0x01 , 0xC5 xx xx 0x00 0x00 0x01) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|e3|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002001; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|c5|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002002; rev:1;) Warnung: Sobald Tunnel eingesetzt werden, hast du verloren Gruß taschentoast
taschentoast Geschrieben 7. Juli 2004 Geschrieben 7. Juli 2004 Emule ****s ! Na? Haben wir auch was zum Thema beizutragen, oder liest du einfach nur gern deinen Namen in Beiträgen? @daking: Warum willst du denn eigentlich im snort emule erkennen? taschentoast
daking Geschrieben 7. Juli 2004 Autor Geschrieben 7. Juli 2004 Hallo, mit manchen Cisco Produkten (BBSM) hat man dummerweise das Problem diesen Traffic nicht accounten zu können. Nun hat man das Problem bei Volumen Vertägen keine genaue Abrechnung machen zu können. Es gibt meiner meinung nach nur zwei Möglichkeiten dies einigermassen (temporär) in den Griff zu kriegen. 1. dynamisches Blocking via Accesslist 2. Traffic Shaping auf nicht mehr angenehme werte (100Mbit auf 10Kbit) via user based policing oder Traffic Klassen (Gold/Silber/Bronze) => Cat4k+Sup4 Cat6k+Sup750 Das Problem bei der Sache ist nur, dass ich keine Möglichkeit habe diesen Traffic zu identifizieren. Normalerweise solte es möglich sein ein definiertes Protokoll an seinen Eigenheiten zu identifizieren (@taschentoast: werde deine Signature testen), z.B. mit Snort. Ein Accounting dieser Datenströme ist im Moment nur mit den neuen Cisco AZR + SSG Produkten (IOS based) in Verbindung mit dem ACS möglich. Nur dumm wenn man die alte Lösung schon im Einsatz hat (;-) Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?! Thankz
daking Geschrieben 7. Juli 2004 Autor Geschrieben 7. Juli 2004 Hallo this locks good! 08.07.2004 00:11 10.1.100.2 Alert snort: [1:1002002:1] eDonkey traffic [Classification: Potential Corporate Privacy Violation] [Priority: 1]: {TCP} 62.163.200.117:4662 -> 10.1.100.2:1364 Na ja noch auf def Ports. Mal im LAB checken ob auch mit dyn ACL klappt (:-)) Ciao
taschentoast Geschrieben 7. Juli 2004 Geschrieben 7. Juli 2004 Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?! Von Cisco hab ich keine Ahnung Aber bei meinem Link hats noch ein paar Signaturen mehr zu P2P-Protokollen. Scheint auch mit dynamischen Ports zu funktionieren, die Sigs sehen mir jedenfalls danach aus. Viel Spaß noch taschentoast
daking Geschrieben 14. Juli 2004 Autor Geschrieben 14. Juli 2004 Hallo, @taschentoast danke das klappt sehr gut. Auch das Policing ist ok ( muss noch verfeinert werden..) Ciao
Fab-tar Geschrieben 23. September 2005 Geschrieben 23. September 2005 versucht dochmal diesen link ! www.ipoque.de :marine
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden