p2p Programme im Netz finden/ersniffen

#1 Hallo Zusammen,

ich habe ein kl. Heimnetzwerk, 2 PCs und nem D-Link Router. Die gängigsten p2p Ports habe ich gesperrt, aber da die neuen Tools auch auf andere Ports umgestellt werden können ist das ja so eine Sache...

Habe zwar meinem Mituser verboten, diese Tools zu nutzen, er hält sich glaub ich bis dato auch daran. Aber um 100%ig sicher zu gehen möchte ich gerne mein Netz daraufhin überwachen und ihn dann ggf. ausschliessen von der Nutzung des Netzes.

Habt ihr da irgendeine Idee oder gar schon Lösung wie man dies machen könnte??

Habe schonmal WinPcap und Ethereal installiert, jedoch kann ich damit nur meine eigene IP einsehen.

Vielen Dank im voraus!!

#2 Schließ einfach alle Ports, bis auf die die gebraucht werden....

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#3 kl. Problem: Kazaa kann auch auf Port 80 genutzt werden.

Aber ansonsten muss ich das wirklich mal umstellen (Erst alle Sperren, dann freigeben.). Dann gibt es noch weniger Möglichkeiten.

Aber es geht mir hauptsächlich darum zu erkennen ob in meinem Netz P2P Software läuft. Ich gehe von dem Fall aus ich habe alle Ports offen. Welche IP im Netz nutzt P2P?

#4 P2P nutz keine eigene IP!
Es ist klar, daß du nur deine IP´s siehst. P2P ist doch nur eine Software, die auf einem Rechner läuft. Der Rechner hat eine IP, eine IP in deinem Netzwerk!

Generell würd ich folgendes machen:

Firewall im Router AN
Nur Standardports, plus benötigte Ports (sollten nur wenig sein..)

Ich bin der Meinung, daß die P2P Programme dennoch andere Ports benötigen, auf Port 80 ist vielleicht die Verbindungsaufnahme...
Ansonsten kannst du eigentlich nur über die Datenmenge erkennen, ob was ungewöhnliches lief. P2P verursacht eine Menge Traffic, gerade der UPLOAD sollte überraschend hoch sein.
Das kannst du entweder über ethereal erkennen oder im DLink Webinterface.
Wenn du keinen Adminzugriff auf seinem Rechner hast kannst du imo erstmal nur so agieren.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Solange irgendein Port offen ist kann man alles darüber tunneln mit Tools wie Socks2HTTP. P2P-Software funktioniert auch ohne das man Ports weiterleiten müsste. Bei eMule heißt es dann Low-ID, kennen sicher viele.

Das einzige was du tun kannst ist auf deinen Mituser einwirken. Dazu empfehle ich "darüber reden" und eventuell auch "vertrauen".
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#6 ok die frage war schlecht gestellt. ich meinte, angenommen ich hätte mehr als 2 rechner im netz. Welche IP von denen im LAN nutzt P2P-SW??

leider kann ich in meinem DLink Router nicht erkennen, welcher USER/IP, wieviel Traffic verursacht. gibt nur eine gesamtauflistung.

mit ihm geredet hab ich ja. er ist 15 und "noch" unerfahren... :-) aber was wenn... und ich bekomm es dann nichmal mit!?!?

vertrauen ist gut kontrolle ist besser. naja, respekt hat der kleene ja noch vor mir, von daher bin ich eigentlich zuversichtlich.

aber zurück zum thema:
ich meine mal gehört zu haben das man mit ethereal das ganze LAN ausschnüffeln kann, sprich den traffic aller IP's loggen.

Ich zitiere:
Sämtliche Datenpakete in einem Netzwerk liegen immer an allen Netzwerkkarten an. Allerdings leiten die Karten normalerweise nur die Pakete an den Netzwerkkarten-Treiber weiter, die auch tatsächlich für sie bestimmt sind. Setzt man die Karte in einen speziellen Modus, den "promiscious mode", reicht sie alle Datenpakete ungefiltert ans System durch.

hmmm, ich glaube mir dämmert etwas...
in meinem DLink ist ein integrierter Switch, an dem wir hängen. Switch = geswitcht! (Switch merkt sich IP zu Ports und legt dementsprechend die Pakete an den jeweiligen Port, mit Port meine ich den des Switches, nicht Sockets) Sprich es liegen eben nicht alle Datenpakete an allen Karten an. (Korrigiert mich bitte wenn ich falsch liege) Aus diesem Grund seh ich auch nur meine Karte/IP!

Wäre es ein integrierter HUB (nicht geswitched) würde/könnte es klappen!

Gruß dINoMyTe

#7

Zitat

dINoMyTe postete
hmmm, ich glaube mir dämmert etwas...
in meinem DLink ist ein integrierter Switch, an dem wir hängen. Switch = geswitcht! (Switch merkt sich IP zu Ports und legt dementsprechend die Pakete an den jeweiligen Port, mit Port meine ich den des Switches, nicht Sockets) Sprich es liegen eben nicht alle Datenpakete an allen Karten an. (Korrigiert mich bitte wenn ich falsch liege) Aus diesem Grund seh ich auch nur meine Karte/IP!

Wäre es ein integrierter HUB (nicht geswitched) würde/könnte es klappen!

Gruß dINoMyTe

RICHTIG

Und wie HeVTiG schon geschrieben hat wird von P2P-Programmen über Port 80 kein UP- bzw. Download geführt.

Wenn nur noch der POrt 80 zu surfen offen ist dürftest du keine Probleme mehr haben.

Gruß SPike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#8 ok, ich werde die tage mal kazaa installieren und das ausprobieren...

meld mich dann nochmal.

#9

Zitat

Und wie HeVTiG schon geschrieben hat wird von P2P-Programmen über Port 80 kein UP- bzw. Download geführt.

Wenn nur noch der POrt 80 zu surfen offen ist dürftest du keine Probleme mehr haben.

Es ist trotzdem nicht richtig, auch wenn es zwei Leute behaupten. Jedes Programm das Socks unterstützt kann Programme wie Socks2HTTP benützen um über Port 80 zu kommunizieren -> http://www.totalrc.net/s2h/index.jsp
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.