6. Juli 200421 j Hallo zusammen, gibt es eine möglichkeit mit snort emule zu erkennen (signature) ? Auch mit dynamischen Ports? Danke
7. Juli 200421 j ungeprüft vom google archiv: # eDonkey # state: good # method: hex strings (0xE3 xx xx 0x00 0x00 0x01 , 0xC5 xx xx 0x00 0x00 0x01) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|e3|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002001; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|c5|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002002; rev:1;) Warnung: Sobald Tunnel eingesetzt werden, hast du verloren Gruß taschentoast
7. Juli 200421 j Emule ****s ! Na? Haben wir auch was zum Thema beizutragen, oder liest du einfach nur gern deinen Namen in Beiträgen? @daking: Warum willst du denn eigentlich im snort emule erkennen? taschentoast
7. Juli 200421 j Hallo, mit manchen Cisco Produkten (BBSM) hat man dummerweise das Problem diesen Traffic nicht accounten zu können. Nun hat man das Problem bei Volumen Vertägen keine genaue Abrechnung machen zu können. Es gibt meiner meinung nach nur zwei Möglichkeiten dies einigermassen (temporär) in den Griff zu kriegen. 1. dynamisches Blocking via Accesslist 2. Traffic Shaping auf nicht mehr angenehme werte (100Mbit auf 10Kbit) via user based policing oder Traffic Klassen (Gold/Silber/Bronze) => Cat4k+Sup4 Cat6k+Sup750 Das Problem bei der Sache ist nur, dass ich keine Möglichkeit habe diesen Traffic zu identifizieren. Normalerweise solte es möglich sein ein definiertes Protokoll an seinen Eigenheiten zu identifizieren (@taschentoast: werde deine Signature testen), z.B. mit Snort. Ein Accounting dieser Datenströme ist im Moment nur mit den neuen Cisco AZR + SSG Produkten (IOS based) in Verbindung mit dem ACS möglich. Nur dumm wenn man die alte Lösung schon im Einsatz hat (;-) Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?! Thankz
7. Juli 200421 j Hallo this locks good! 08.07.2004 00:11 10.1.100.2 Alert snort: [1:1002002:1] eDonkey traffic [Classification: Potential Corporate Privacy Violation] [Priority: 1]: {TCP} 62.163.200.117:4662 -> 10.1.100.2:1364 Na ja noch auf def Ports. Mal im LAB checken ob auch mit dyn ACL klappt (:-)) Ciao
7. Juli 200421 j Interessant wäre auch noch ob es solche Signatures auch für andere P2P SW gibt?!?! Von Cisco hab ich keine Ahnung Aber bei meinem Link hats noch ein paar Signaturen mehr zu P2P-Protokollen. Scheint auch mit dynamischen Ports zu funktionieren, die Sigs sehen mir jedenfalls danach aus. Viel Spaß noch taschentoast
14. Juli 200421 j Hallo, @taschentoast danke das klappt sehr gut. Auch das Policing ist ok ( muss noch verfeinert werden..) Ciao
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.