[FUG-BR] RES: RES: Problemas com P2P

Alex Almeida almeida.alex em gmail.com
Quarta Setembro 3 09:21:02 BRT 2008


Bom dia senhores,

    O nosso inimigo "P2P", precisa de informações para poder se 
conectar, tais informações são passadas via arquivo de hosts chamados 
"server.met"
(no caso do emule), todos os programas são de codigo aberto.
    Em vez de brincar de gato e rato vamos usar as inforções destes 
programas, criar um programa para simular um cliente P2P, que se conecte 
as redes
deles como um espião, pegando todos os endereços ip do servidores para 
gerar uma lista para banir em nossos firewall´s esses acessos.
    Para isso precisamos que alguem se habilite nessa empreitada, é tão 
somente um decodificador do arquivo "server.met", irá tirar de 
circulação uns
80% dos servidores P2P os outros 20% teriamos de fazer o simulador, para 
rastrear e posteriormente bloquear.

[]´s
Alex Almeida

   

   

Paulo Henrique escreveu:
> Poderia colocar um Sniffer na interface interna do servidor e verificar
> quais são os ipsou classes que estão trafegando internamente na rede.
>
>
> 2008/9/1 Cobausque <cobausque em ig.com.br>
>
>   
>> Ok,,, meu exemplo ...
>> Estou usando atualmente este modelo como teste .. já testei outras
>> variações
>> de script mm estou com este no momento funciona normalmente mas com o p2p
>> tb
>> acontece a quebra de banda ..
>> Por exemplo já testei mascaras diferentes .. sem mascara .. entre outros
>> detalhes funciona normalente mas o Ares consegue burlar ..
>>
>> ====== FIREWALL============
>>
>> ######NAT####################################################
>> ipfw add 400 allow all from me to any 80
>> ipfw add 401 fwd 127.0.0.1,3128 tcp from any to not me 80
>> ipfw add 403 divert 8668 all from 10.1.60.0/24 to any out via xl0
>> ipfw add 405 divert 8668 all from any to 172.20.1.2 in via xl0
>> ipfw add 406 allow icmp from any to any icmptype 0,3,8,11
>> ipfw add 407 allow all from any to any 22,53
>> ipfw add 408 allow all from any 22,53 to any
>> ##################################################################
>>
>> ###REDE 1 adm######
>> ipfw pipe 802 config mask dst-ip 0xfffff00 bw 200Kbit/s queue 11
>> ipfw pipe 803 config mask src-ip 0xfffff00 bw 200Kbit/s queue 11
>> ipfw add 802 pipe 802 ip from any to 10.1.60.0/24{2-23,47,49,62,70-110}<http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>out
>> via fxp0 limit src-addr 55
>> ipfw add 803 pipe 803 ip from 10.1.60.0/24{2-23,47,49,62,70-110}<http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>to any in
>> via fxp0 limit dst-addr 55
>>
>>
>>
>> ipfw add 30000 deny log all from any to any not layer2 in via fxp0
>> ============================
>>
>> ======KERNEL=====
>>
>> options IPFIREWALL
>> options IPFIREWALL_FORWARD
>> options IPFIREWALL_VERBOSE
>> options IPFIREWALL_VERBOSE_LIMIT=1000
>> options IPFIREWALL_DEFAULT_TO_ACCEPT
>> options IPDIVERT
>> options IPSTEALTH
>> options BRIDGE
>> options TCP_DROP_SYNFIN
>> options DUMMYNET
>> options SYSVSHM
>> options SHMSEG=16
>> options SHMMNI=32
>> options SHMMAX=2097152
>> options SHMALL=4096
>> options SYSVMSG
>> options MSGMNB=16384
>> options MSGMNI=41
>> options MSGSEG=2049
>> options MSGSSZ=64
>> options MSGTQL=2049
>>
>> device          pf
>> device          pflog
>> device          pfsync
>>
>> options         ALTQ
>> options         ALTQ_NOPCC
>> options         ALTQ_CBQ        # Class Bases Queueing
>> options         ALTQ_RED        # Random Early Drop
>> options         ALTQ_RIO        # RED In/Out
>> options         ALTQ_HFSC       # Hierarchical Packet Scheduler
>> options         ALTQ_CDNR       # Traffic conditioner
>> options         ALTQ_PRIQ
>>
>> options NETGRAPH
>> options NETGRAPH_PPPOE
>> options NETGRAPH_SOCKET
>> options NETGRAPH_IFACE
>> =================
>>
>>
>>
>> -----Mensagem original-----
>> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
>> de Paulo Henrique
>> Enviada em: sexta-feira, 29 de agosto de 2008 18:05
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> Assunto: Re: [FUG-BR] RES: Problemas com P2P
>>
>> POderia postar todo o seu firewall.rules para podermos ter uma melhor base
>> para analise do problema.
>> Fica complicado, pois como já descrito aqui poderá ser erro de semântica no
>> arquivo.
>> Coloque junto as opções que compilou o seu sistema com  relação ao
>> firewall.
>>
>> 2008/8/29 Eduardo Schoedler <eschoedler em viavale.com.br>
>>
>>     
>>> Mais uma coisa.
>>> Coloque a última regra como "deny log from any to any".
>>> E veja no /var/log/security o que está passando que você não consegue
>>> capturar.
>>>
>>> Abraço.
>>>
>>>
>>>
>>> --------------------------------------------------
>>> From: "Eduardo Schoedler" <eschoedler em viavale.com.br>
>>> Subject: Re: [FUG-BR] RES:  Problemas com P2P
>>>
>>> Só por curiosidade... o ip do seu cliente é 10.0.0.10 ou 10.0.0.20 ?
>>>
>>> Abraço.
>>>
>>>
>>> --------------------------------------------------
>>> From: "Cobausque" <cobausque em ig.com.br>
>>> Subject: [FUG-BR] RES:  Problemas com P2P
>>>
>>> Não alterei não ..  como comentaram acho estranho o firewall permitir
>>>       
>> este
>>     
>>> descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100 pipe
>>>       
>> 200
>>     
>>> ip from any to 10.0.0.10 via xl0
>>> Ou seja desrevi IP.. .... e o danado consegue.. ultrapassar .. tentei Tb
>>>       
>> .
>>     
>>> Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0
>>> Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse algum
>>> tipo de criptografia .. não deveria haver o estouro da banda .
>>>
>>>
>>>
>>> -----Mensagem original-----
>>> De: Eduardo Schoedler
>>> Assunto: Re: [FUG-BR] Problemas com P2P
>>>
>>> Não interessa o que tem no pacote.
>>> Ele lê os headers (layer 3).
>>>
>>> Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0
>>> Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0
>>>
>>> Você alterou o parâmetro net.inet.ip.fw.one_pass ?
>>> Se alterou, ele pode estar pegando uma regra mais abaixo, menos
>>>       
>> restritiva.
>>     
>>> Veja:
>>>
>>> net.inet.ip.fw.one_pass: 1
>>>        When set, the packet exiting from the dummynet(4) pipe or from
>>>        ng_ipfw(4) node is not passed though the firewall again.  Other-
>>>        wise, after an action, the packet is reinjected into the firewall
>>>        at the next rule.
>>>
>>>
>>> Abraços.
>>>
>>> --------------------------------------------------
>>> From: "Breno Vale" <breno em brenovale.com.br>
>>> Subject: Re: [FUG-BR] Problemas com P2P
>>>
>>>   Amigo,
>>>   Ares usa criptografia quando fecha o P2P. Sendo assim as regras não
>>>   conseguem identificar que o pacote é P2P.
>>>   Ares é melhor bloquear do que tentar controlá-lo.
>>>   []'s
>>>   Breno
>>>   Cobausque escreveu:
>>>
>>> Pessoal estou tendo problemas com um comportamento de um programa P2P o
>>> Ares..
>>>
>>> Estou usando ipfw e com queues defino a banda de meus clientes .. mas
>>> quando
>>> o cliente usa este Ares ele consegue burlar o controle queue e se ele tem
>>> 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém já
>>> teve semelhante problema ???
>>>
>>> Gostaria de alguns exemplos de script pra fazer comparações .. testei
>>> varias
>>> variações de scripts ... não funcionaram bem ..
>>>
>>>
>>>
>>> -------------------------
>>> Histórico: [1]http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>   --
>>>
>>>       
>> [cid:part1.09070908.06080105 em brenovale.com.br<cid%3Apart1.09070908.06080105 em brenovale.com.br>
>> <cid%3Apart1.09070908.06080105@
>> brenovale.com.br>
>>     
>>> ]
>>>
>>> References
>>>
>>>   1. http://www.fug.com.br/historico/html/freebsd/
>>>   2. https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>       
>>
>> --
>> Atenciosamente Paulo Henrique.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>     
>
>
>
>   


Mais detalhes sobre a lista de discussão freebsd