[GTER] Porta do Kazaa Ligth

Marcus Grando marcus at sbh.eng.br
Thu Apr 3 10:37:01 -03 2003


Tem um documento dando uma eplicação sobre isso.

http://people.redhat.com/harald/tc.html

Só não sabia que era tão velho "-m string" no iptables, tem um artigo de 
  12/2001.
http://www.securityfocus.com/infocus/1531

Abraços

Rubens Kuhl Jr. wrote:
> 
> O exemplo de iptables que eu tenho até tenta fazer shaping ao invés de
> bloquear Kazaa... reproduzo aqui mas para uso é melhor pegar do site
> original:
> http://moon.ondraszek.ds.polsl.gliwice.pl/~pjeter/p2p
> 
> Quanto à string, esse exemplo usa "X-Kazaa", mas um deployment real dessa
> idéia preferiu rechear mais a descrição para evitar eventuais falsos
> positivos antes que eles acontecessem. Eu vou verificar se posso divulgar o
> que foi usado, mas de qualquer forma sugiro confrontar o padrão escolhido
> com amostragens de tráfego real da organização em que se esteja aplicando um
> controle similar.
> 
> 
> Rubens
> 
> 
> 
> |
> | Czesc konfiguracji iptables oraz queuing disciplines
> | dla ograniczenia ruchu Kazza.v2 by PJeter.
> | ---------------------- /etc/rc.d/rc.qdisc ---------------------------
> | #!/bin/bash
> | modprobe cls_fw
> | modprobe sch_sfq
> | modprobe sch_htb
> |
> | IF=eth1
> | TC=/sbin/tc2
> |
> | echo Delete old QDISC root
> | $TC qdisc del dev $IF root handle 1: htb
> | echo Setting QDISC root
> | $TC qdisc add dev $IF root handle 1: htb default 10
> |
> | echo Setting classes
> | $TC class add dev $IF parent 1:  classid 1:1 htb rate 100Mbit ceil 100Mbit
> | $TC class add dev $IF parent 1:1 classid 1:10 htb rate 99Mbit ceil 100Mbit
> prio 1
> | $TC class add dev $IF parent 1:1 classid 1:20 htb rate 800kbit ceil
> 800kbit prio 2
> |
> | echo Setting qdisc for classes
> | $TC qdisc add dev $IF parent 1:10 sfq
> | $TC qdisc add dev $IF parent 1:20 sfq
> |
> | #tc qdisc add dev $IF parent 1:10 handle 10: pfifo limit 5
> | #tc qdisc add dev $IF parent 1:20 handle 20: pfifo limit 5
> |
> | echo Setting qualifying filters
> | $TC filter add dev $IF parent 1: proto ip prio 2 handle 1 fw classid 1:20
> |
> | ------------------------- /etc/rc.d/rc.fw ---------------------------
> | modprobe ipt_string
> | modprobe ipt_recent
> |
> | iptables -t mangle -N kazza-out
> | iptables -t mangle -A kazza-out -j MARK --set-mark 1
> | iptables -t mangle -A kazza-out -j ACCEPT
> |
> | iptables -t mangle -I FORWARD 1 -i eth0 -m recent --update --seconds
> 60 --rdest --name kazaa -j
> | kazza-out
> | iptables -t mangle -I FORWARD 2 -i eth1 -m recent --update --seconds
> 60 --rsource --name kazaa
> | iptables -t mangle -I FORWARD 3 -i eth1 -m string --string "X-Kazaa"  -m
> recent --name kazaa --set
> | --rsource
> | iptables -t mangle -I FORWARD 4 -o eth1 -m string --string "X-Kazaa"  -m
> recent --name kazaa --set
> | --rdest   -j kazza-out
> 
> ----- Original Message -----
> From: "João Carlos Mendes Luís" <jonny at jonny.eng.br>
> To: <gter at eng.registro.br>
> Sent: Thursday, April 03, 2003 12:35 AM
> Subject: Re: [GTER] Porta do Kazaa Ligth
> 
> 
> | Detecção por string?
> |
> | Pode mandar um exemplo em iptables, se possível, já com a string do kazaa?
> |
> | Rubens Kuhl Jr. wrote:
> | > A porta é a mesma do Kazaa normal, 1214. O problema é que o Kazaa sabe
> | > escorregar por bloqueios de portas e pode usar porta 80 ou qualquer
> outra...
> | > o melhor jeito de coibir o Kazaa é fazer detecção por string (dá para
> fazer
> | > em IOS, IP Tables e quase qualquer IDS). Detectado o padrão, o IP
> destino é
> | > adicionado numa lista de bloqueio fechando qualquer tráfego de/para
> aquele
> | > IP; esses IPs são de hubs e super-nodes do Kazaa..
> | >
> | >
> | > Rubens
> | >
> | >
> | >
> | > ----- Original Message -----
> | > From: <elp at agestado.com.br>
> | > To: <gter at eng.registro.br>
> | > Sent: Wednesday, April 02, 2003 6:01 PM
> | > Subject: [GTER] Porta do Kazaa Ligth
> | >
> | >
> | > | Pessoal,
> | > |
> | > |         Alguem sabe quais Portas/Enderecos IP o KazaaLigth esta
> usando?
> | > |
> | > | []s ELP
> | > | Eduardo Lucas Pinto
> | >
> | > --
> | > GTER list    http://eng.registro.br/mailman/listinfo/gter
> |
> |
> | --
> |
> |                                          Jonny
> |
> | --
> | João Carlos Mendes Luís - Networking Engineer - jonny at jonny.eng.br
> | --
> | "the West won the world not by the superiority of its ideas or values
> | or religion but rather by its superiority in applying organized
> | violence. Westerners often forget this fact, non-Westerners never do."
> | -- Samuel P. Huntington
> |
> | --
> | GTER list    http://eng.registro.br/mailman/listinfo/gter
> |
> 
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
> 
> 


-- 
Marcus Grando
<marcus at sbh dot eng dot br>




More information about the gter mailing list