[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Berufung Voss ./. T-Online (Vorratsspeicherung), Termin fuer Entscheidungsverkuendung



* Gert Doering:

> Aus Sicht des Technikers ist mir P2P ein Aergernis, weil die verfuegbare
> Software so grottig schlecht ist, dass sie oft nicht vom typischen Muster 
> eines massiven Virus-Ausbruchs zu unterscheiden ist ("unendliche Mengen
> von Kommunikationsversuchen zu Adressen, wo definitiv keiner ist"), und
> als solche haufenweise Fehlalarme in den Systemen ausloest, die der ISP
> installiert, um bei groesseren Problemen (wie z.B. "Code Red" oder "Nimda",
> wo einige Netze aufgrund zu langsamer Erkennung des Problems einfach 
> zusammengebrochen sind) schnell genug reagieren zu koennen.

Richtig lustig wird es, wenn Du viele Kunden aus Asien hast, die
File-Sharing-Programme einsetzen, die in der westlichen Welt niemand
kennt und die nicht auf deutsch/englisch/französisch/spanisch/russisch
dokumentiert sind. Vshare ist so ein Fall.

Auf der anderen Seite fand ich es nicht besonders schwierig, die
Heuristiken so zu drehen, daß "nmap -iR" quasi sofort anschlug (und
hauptsächlich sequentielle Scans nach einer Weile), die
P2P-Verbindungsbauer aber nicht: Verkehr zu nicht geroutetem Adreßraum
außerhalb der RFC1918-Netze stärker gewichten. (Heutzutage ist das
wegen der Abnahme des nicht geroutetem Adreßraums vermutlich nicht
mehr ganz so wirksam.) Daneben gewichteten wir auch die üblichen Ports
etwas höher, um dort schneller zuschlagen zu können. Alles in allem
war das absolut krude (wenn man es mal mit Papers in RAID vergleicht),
aber für rund 15.000 Hosts recht wirksam.

Wir hatten allerdings auch eine, seit Jahren nicht mehr verwendete
Adresse, die ständig von fremden P2P-Clients kontaktiert wurde, ohne
daß das einen offensichtlich Grund gehabt hätte. Vermutlich verwendete
jemand unseren Adreßbereich hinter unvollständigem NAT (das die in
P2P-Protokolle eingebetteten Adressen nicht umsetzte).

Insofern: Ich kann verstehen, was Du meinst, aber ich halte *diese*
Probleme nicht für unüberwindbar. Weniger lustig wird es, wenn über
Filesharing-Netze in signifikantem Maße Kontrollkommunikation
ausgetauscht wird (momentan gilt noch "if you want to stay unnoticed,
make it look like a worm"). Bei einer solchen Entwicklung gibt es
allerdings auch neue Chancen, Daten über Angriffe zu gewinnen.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de