da machte mich eben ein Kollege auf eine wirklich hässliche Sache aufmerksam, die ich so noch gar nicht galuben kann/will. Angeblich sorgen ständige kleine UDP-Pakete der diversen P2P Tauschbörsen (nach Änderungen derselben Ende letzten Jahres) an ihnen gegenüber einmal gemeldete IP-Adressen dafür, dass Router ohne feste öffentliche IP-Adressen die Verbindung nicht mehr beenden können. Höchst ärgerlich und gebührenintensiv für Leute und Unternehmen, die noch ISDN-Router einsetzten oder einen zeitabhängigen DSL-Tarif einsetzen.
Dabei müssen die entsprechenden P2P-Programme gar nicht bei den Betroffenen selbst eingesetzt worden sein, es reicht, dass bei dynamischer Adressvergabe die bei Einwahl des Routers zugeteilte IP-Nummer zu einem früheren Zeitpunkt mal an einen Nutzer eines der entsprechenden Tauschdienste zugeteilt war. Momentan sei wohl kaum ein Router (insbesondere die kleinen handlichen Blackboxes) so konfigurierbar, diese Pakete von der Feststellung eines tatsächlichen Datentransfers auszuschließen.
Ist dem tatsächlich so? Würde z.B. erklären, warum in unserer Kanzlei (momentan noch per ISDN-Router angebunden) Ende letzten Jahres die Verbindungskosten so nach oben gegangen sind.
da machte mich eben ein Kollege auf eine wirklich hässliche
Sache aufmerksam, die ich so noch gar nicht galuben kann/will.
Angeblich sorgen ständige kleine UDP-Pakete der diversen P2P
Tauschbörsen (nach Änderungen derselben Ende letzten Jahres)
an ihnen gegenüber einmal gemeldete IP-Adressen dafür, dass
Router ohne feste öffentliche IP-Adressen die Verbindung nicht
mehr beenden können. Höchst ärgerlich und gebührenintensiv für
Leute und Unternehmen, die noch ISDN-Router einsetzten oder
einen zeitabhängigen DSL-Tarif einsetzen.
Dabei müssen die entsprechenden P2P-Programme gar nicht bei
den Betroffenen selbst eingesetzt worden sein, es reicht, dass
bei dynamischer Adressvergabe die bei Einwahl des Routers
zugeteilte IP-Nummer zu einem früheren Zeitpunkt mal an einen
Nutzer eines der entsprechenden Tauschdienste zugeteilt war.
Momentan sei wohl kaum ein Router (insbesondere die kleinen
handlichen Blackboxes) so konfigurierbar, diese Pakete von der
Feststellung eines tatsächlichen Datentransfers
auszuschließen.
Ist dem tatsächlich so? Würde z.B. erklären, warum in unserer
Kanzlei (momentan noch per ISDN-Router angebunden) Ende
letzten Jahres die Verbindungskosten so nach oben gegangen
sind.
Das ist korrekt, in einer der letzten c’ts stand da mal ein Artikel drüber drin. Der Router muß halt so konfigurierbar sein, daß er ausschliesslich ausgehenden Traffic (und auch da nur TCP/UDP, kein ICMP!) als Indiz für einen Verbindungswunsch akzeptiert. Bzw., er muß das vom Werk ab so interpretieren, einstellen kann man das AFAIK bei keinem Black Box Router.
Selbstgebaute Router kann man selbstverständlich ganz leicht so konfigurieren (zumindest unter FreeBSD, Linux wird das auch können).
Höchst ärgerlich und gebührenintensiv für
Leute und Unternehmen, die noch ISDN-Router einsetzten oder
einen zeitabhängigen DSL-Tarif einsetzen.
Was glaubst du wie die Leute die auf Volumen bezahlen bei SQL-Slammer geflucht haben ? (erzeugt auch einen „stay-online“-Effect)
Ist dem tatsächlich so?
jupp, im grossen und ganzen stimmt das so.
Würde z.B. erklären, warum in unserer
Kanzlei (momentan noch per ISDN-Router angebunden) Ende
letzten Jahres die Verbindungskosten so nach oben gegangen
sind.
wartet mal auf die Rechnung aus dem SQL-Slammer Monat.
SQL-Slammer kann hier bei uns keine Probleme verursacht haben, weil wir keinen MS SQL-Server im Hause haben. Aber um jetzt mal abzuchecken, wie oft es zu solchen Situationen kommt, habe ich mir überlegt evtl. mal einen Sniffer wie Ethereal einzusetzen, um mal auf solche Päckchen zu lauschen. Nur, da betrete ich jetzt nun wirklich Neuland. Bei meinen bisherigen Arbeitgebern gab es dafür immer Fachleute, die ziemlich weit von mir weg waren. Ich werde sicher eine Menge an Sachen da identifizieren können, andere sicher nicht. Wie würden sich diese UTP-Pakete der P2P-Systeme zu Erkennen geben?
Zum Glück ist die Sache hier in Kürze ausgestanden, weil wir in einigen Wochen DSL mit einem Flatrate Tarif bekommen, aber privat soll es DSL mit Volumentarif werden, und da würde ich dann schon mal gerne nachsehen wollen.
SQL-Slammer kann hier bei uns keine Probleme verursacht haben,
weil wir keinen MS SQL-Server im Hause haben.
Ich hab auch keine, aber die Server dieser Welt haben mir insgesamt 2 GB über die Leitung _geschickt_.
Ich spreche nicht von dem upload der durch einen infizierten Rechner bei dir entstanden sein könnte, ich mein die Daten die die infizierten Rechner wahlfrei im Internet verteilt haben. (Kann auch sein dass ich an einer ungünstigen IP hänge…)
Wie würden sich
diese UTP-Pakete der P2P-Systeme zu Erkennen geben?
Du meinst vermutlich UDP-Pakete.
Wenn auf den Systemen hinter dem Router keine P2P-Software laufen soll, könntest Du den Router so konfigurieren, dass er eingehende Pakete auf den betreffenden P2P-Ports (z.B. 1214 und 4662) beim Halten der Verbindung ignoriert - vorausgesetzt, der Router unterstützt eine solche Konfiguration.
Auch ausgehende Pakete solltest Du ignorieren, wenn es sich um „ICMP Port Unreachable“ oder „ICMP Echo Reply“ handelt. Diese Pakete versendet ein Rechner, wenn er auf einem angeforderten Port keinen Dienst anbietet, beziehungsweise per „ICMP Echo Request“ zu einer Antwort aufgefordert wird - wie bei P2P-Software teilweise üblich.
Eine andere Methode besteht darin, die Verbindung abzubauen, wenn die NAT-Tabelle für eine gewisse Zeit leer geblieben ist. In dieser Tabelle übersetzt der Router interne (private) in öffentliche IP-Adressen. Gefüllt wird diese Tabelle nur dann, wenn ein Rechner aus dem LAN eine Verbindung anfordert - zumindest, wenn wir von Routern mit statischen NAT-Einträgen absehen.
Eine andere Methode besteht darin, die Verbindung abzubauen,
wenn die NAT-Tabelle für eine gewisse Zeit leer geblieben ist.
In dieser Tabelle übersetzt der Router interne (private) in
öffentliche IP-Adressen. Gefüllt wird diese Tabelle nur dann,
wenn ein Rechner aus dem LAN eine Verbindung anfordert -
zumindest, wenn wir von Routern mit statischen NAT-Einträgen
absehen.
Alles natürlich völlig korrekt, lieber Markus - eine Frage aus Unkenntnis dazu: Lassen sich handelsübliche „Hardwarerouter“ derart fein konfigurieren? Gerade die aus dem ISDN-Bereich? Mit solchen Geräten hab ich keine Erfahrung, aber es interessiert mich.
Alles natürlich völlig korrekt, lieber Markus - eine Frage aus
Unkenntnis dazu: Lassen sich handelsübliche „Hardwarerouter“
derart fein konfigurieren? Gerade die aus dem ISDN-Bereich?
Mit solchen Geräten hab ich keine Erfahrung, aber es
interessiert mich.
Hallo Doc!
Die üblichen „Billig“-Modelle lassen sich vermutlich nicht derart fein konfigurieren. Ein besonderes Problem für ISDN-Router sehe ich jedoch nicht. Eher könnte der Hersteller eines DSL-Routers mit einer Flaterate argumentieren, die derartige Einstellungen zweitrangig macht.
Betroffen ist nicht nur der eigentliche SQL-Server, sondern
auch die „Microsoft SQL Server 2000 Desktop Engine“ (MSDE).
Haben wir aber auch nicht.
Du meinst vermutlich UDP-Pakete.
Ups, verttttippppt
Wenn auf den Systemen hinter dem Router keine P2P-Software
laufen soll, könntest Du den Router so konfigurieren, dass er
eingehende Pakete auf den betreffenden P2P-Ports (z.B. 1214
und 4662) beim Halten der Verbindung ignoriert -
vorausgesetzt, der Router unterstützt eine solche
Konfiguration.
Auch ausgehende Pakete solltest Du ignorieren, wenn es sich um
„ICMP Port Unreachable“ oder „ICMP Echo Reply“ handelt. Diese
Pakete versendet ein Rechner, wenn er auf einem angeforderten
Port keinen Dienst anbietet, beziehungsweise per „ICMP Echo
Request“ zu einer Antwort aufgefordert wird - wie bei
P2P-Software teilweise üblich.
Eine andere Methode besteht darin, die Verbindung abzubauen,
wenn die NAT-Tabelle für eine gewisse Zeit leer geblieben ist.
In dieser Tabelle übersetzt der Router interne (private) in
öffentliche IP-Adressen. Gefüllt wird diese Tabelle nur dann,
wenn ein Rechner aus dem LAN eine Verbindung anfordert -
zumindest, wenn wir von Routern mit statischen NAT-Einträgen
absehen.
Na da sehe ich aber bei unserem schon etwas überholten Elsa ISDN-Router schwarz. Ist aber hier ja nur noch eine Frage der Zeit, bis DSL mit Flatrate kommt, und dann ist das Thema erledigt. Privat werde ich mir aber den schon gelieferten Zyxel-Router mal in dieser Richtung vornehmen und mal schauen, ob es ggf. schon Updates gibt, die dieses Thema berücksichtigen. Und die beiden letzten Kunden aus alter Selbständigkeit, die auch noch die alten Elsa-Dinger laufen habe, gebe ich gerade an einen neuen Betreuer ab, der sich dann nächste Woche gleich mal um das Thema kümmern darf.
hm…die erste Frage, die ich mir stelle ist: Welchen P2P Dienst nutzt ihr und warum? Nach einer entsprechenden Beantwortung würde ich mir auf den fraglichen Workstations die aktuelle IP Konfiguration anschauen (bei Windows ist es netstat -) und dann den Paketfilter in dem Router entsprechend Konfigurieren. Den sollte es in jedem Router geben. Eigentlich braucht der Mensch im Internet nur recht wenig…*smile* HTTP, POP3, SMTP, und vielleicht noch dns sollten ausreichend sein, wenn nicht eben noch P2P Dienste genutzt werden SOLLEN. In einer Kanzlei fehlt mir da allerdings der Überblick über die Angebote im Netz…
sorry, aber ich glaube, Du hast das Problem nicht verstanden. Bei uns wird überhaupt kein P2P-Dienst genutzt. Da wir aber momentan noch über einen ISDN-Router mit Einwahl nach Bedarf online gehen, kann es passieren, dass wir hierbei hin und wieder per DHCP IP-Adressen vom Provider zugewiesen bekommen, die zuvor von einem P2P-Nutzer verwendet worden ist. Der entsprechende P2P-Dienst hat von dem neuen Inhaber der IP nichts mitbekommen und schickt an die Adresse hübsch weiter UDP-Pakete. Diese laufen am Router auf und werden mit dem Auftreffen als bestehende Datenverbindung interpretiert, wodurch die Abwahl verhindert wird, was zum Weitertickern des Gebührenzählers führt. Da hilft dann auch kein interner Paketfilter im Router, weil dieser ja erst das bereits angekommene und registrierte Paket verwirft. Abhilfe verschafft da nur ein Ausschluss bestimmter Pakettypen von der Registrierung für einen bestehenden Datenaustausch. Und dies lässt sich wohl in der aktuellen Situation bei den gängigen Blackboxes nicht konfigurieren.
Gruß vom Wiz
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]