requests auf Port 4662

#1 nAbend zusammen,

ich habe hier ne Bemerkung zu blockierten Ports.
Meine Firewall Outpost meldet in letzter Zeit ansteigende Blockaden von 4662 und benachbarten Ports. Nun weiß ich, dass das an sich normal ist, das ist einer von den Tauschern edokey oder kazaa. Manchmal wird das aber ziemlich viel, je nach IP schonmal im Schnitt ein Request pro Sekunde.
Heute allerdings kam der Hammer: ich kriegte plötzlich so um die 30 bis 40 pro Sekunde; die Firewall hat sich aufgehängt, das ganze System verabschiedet sich mit blue screen. Nach dem Reboot las ich in den Logs, dass Outpost das als DOS-Angriff klassifiziert hat. Wenn es denn so wäre, dann hat die Firewall aber nicht durchgehalten.

Das letzte kläre ich mit den Outpostern, aber diese zunehmenden 4662 beunruhigen mich doch ein wenig.

Hat jemand ähnliche Erfahrungen?

Gruß Reinhart

#2 Sollte sich sonst keine Abhilfe bieten, erstelle eine seperate Regel für diesen Port, in der festgelegt wird, das Outpost Anragen bezgl 4662 nicht loggen soll.
Möglicherweise waren nicht die zahlreichen Anfragen, sondern das mitlogen das eigentliche Problem; ist meine Vermutung.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 hallo
Benutze selber den fli4l firewall router.
und habe letzte zeit auf port 4662 jede menge Rejects

Ich Benutze kein Edonkey oder änliche Software
möchte aber gerne wissen wieso connect versuche auf diese ports
wenn ich keine anfragen nach edonkey Servern schicke ???

hab es aber zeitweilig anders gelöst.
Ich habe ein kleinen listen-server programmiert der auf den port 4662 hört
und den port 4662 auf den router forwardet somit werden alle anfragen auf den port von meinen listen-server behandelt damit die firewall nicht gefloodet wird.

#4 @midox:

Hallo,

es kommen so viele Requests, weil du beim Einloggen eine Ip zugewiesen kriegst, die vorher ein eDonkey hatte. Der hat halt seine Kiste zugemacht. Damit gehen alle Anfragen jetzt an dich.

Dein Listen-Server würde mich interessieren, wenn der universell einsetzbar ist (rherder@web.de). Ich suche genau nach Lösungen, die meiner Firewall solche Arbeit abnehmen, damit sie nicht abschmiert.

Aber es müsste doch auch eine andere Lösung bei eDonkey oder vielleicht beim Provider geben. Mein Provider sagt, das ginge ihn überhaupt nichts an, das sei kein Netzmissbrauch. Aber ich finde, das nimmt langsam Formen der Belästigung an, die ich nicht hinnehmen möchte.

Reinhart

#5 Warum belästigung schalte einfach den Log dafür aus und es stört dich nichtmehr
Oder liegt das Problem irgendwo anders

Wenns dich wirklich stört such einen Provider der diese Ports gesperrt hat dann hast du das Problem nicht mehr
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#6 @spunki

Solange ich nicht genau weiß, ob mir die FW abschmiert wegen zu vieler Requests auf einmal oder weil sie nicht alles auf einmal loggen kann - solange werd ich n Teufel tun und die Logs ausschalten. Wofür gibts eigentlich Logs?

Außerdem kann meine FW Outpost Pro den Log für einzelne Ports nicht ausschalten oder ich hab was übersehen.

Überdies wechsele ich meinen Provider nicht wie andere Leute das Hemd; kannst du mir nen Provider nennen, der den Leuten sagt: Surfen könnt ihr ja gerne, aber mit Tauschbörse is nix.

Danke für die Ratschläge

Reinhart

#7 zum log
du kannst z.B.
Eine Blockrule für Tcp/upd incoming auf port 4662 machen dann stört dich der Logeintrag nicht du bekommst die packete zwar trotzdem kannst aber eh nichts anderes machen

zum abschmieren
Normal sollte einer Firewall nichts passieren ich kann mir nicht vorstellen das
Outpost damit Probleme hat selbst die Norton hat keine Probleme mit

ich glaub Tiscali hat diese Ports gesperrt bei www.heise.de solltest du aber genaueres finden
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8 Hallo rherder was meinst du mit universell einsetzbar

Das mit der dynamischen IP hat ich heute auch raus gefunden
Aber trotzdem ist das belästigung
weil mir irgendwie( auch wenn es nür minimal ist) bandbreite geklaut wird.

Danke für eure Antworten ich schreibe trotzdem an mein prog weiter weil es immer irgend ein port geben wird der aufeinmal interesant wird und ich vieleicht eine gegenmaßname ausführen möchte (was ich in diesem fall nicht getan habe)
jetzt werden nur die IP adressen in einer listbox angezeigt.

mfg
midox

#9 @midox

Mit universell einsetzbar meine ich nur die Plattform. Also ich fahre WIN2K. Wenn dein Listenserver dadrauf läuft, dann bin ich an einem Test hier bei mir zuhause interessiert.

Mit der Belästigung sind wir zwei wohl hier im Forum allein. Ich werde mal schauen, ob sich die C'T dafür interessiert.

Reinhart

#10 Diese sogenannte "Belästigung" ergibt sich aus den Umständen, die hier bereits geschildert wurden. Es steckt ja keine Absicht dahinter. In meinen Augen eher eine beiläufige Erscheinung im Gebrauch des Internet.

@Reinhard : Was die Outpost zu deinem Fall zu sagen haben wäre sehr interssant. Bitte poste das Ergebnis doch hier.
Ob die Ouptost-FW auf deinem System in extremen Situationen instabil wird, könntest du mal mit einem Flooder testen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Mh nur so wenn ihr euch ein listen server aufsetzt vervielfacht sich der Traffic
da ist es am besten einfach nur die Firewall zu nehmen
ihr wisst doch
syn ->

<-syn ack
ack ->

Das sind bestimmt ein paar byte mehr und das war nur der verbindungs aufbau!!

asl

syn -> und je nach firewall garnichts oder ein fin bit

Nach meinen Rechnungen ist ein tcp header 256 bits groß

Übrigens eine beschwerde ist doch völlig sinnlos und zeitverschwendung
da sie eh nichts ändert
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 @spunky du hast vieleicht recht mit
syn ->
<-syn ack
ack ->

aber wie wäre es mit rst-> und dann nichts mehr
oder eben gar keine antwort rausschikken
du weist ja listen=abhören

ich wolt ja keine verbindung aufbauen nur abhören auf einen spezifischen port
input ACCEPT output DENY ist meine meinung

Und keine absicht kann mann nicht genau sagen.
weil der port 4662 ist zwar für edonkey2000 gedacht aber ich kann dir auch nen trojaner proggen der gerade den port 4662 benutzt

und mit loggen erkennt man schneller bestimmte angriffs-muster als wenn ich ein port mal eben nicht mitloggen lasse

Edonkey server könnten auch genauso wie zb www.selfhost.com arbeiten
Da wird deine gerade aktuelle IP addresse registriert und verwendet um dein eigenen gehosteten webserver ins internet sichtbar zu machen.
also quasi eine webseite mit öffnungzeiten. (mit ISDNxxl immer wieder sonntags

win2000 Hab ich auch
mein prog v 0.1 werde ich wahrscheinlich am sonntag zum download bereitstellen
www.midox.de/download/downloads.html
erwarte jetzt aber kein superprog was deine firewall ersetzt und voauszetzung ist das der port den du abhören wilst mus geforwarded werden oder nicht geblockt sein von deine firewall
moechtest du alles abhören versuchs mit Ethereal oder Windump wobei der erste meine meinung besser ist gibt es auch fuer Win2000

mfg
midox

AjA God war ein Programierer nur die GIRLS sind BUGGY ;o)

#13 @joshi

Danke für den flooder-Tip. Aber bitte - so gut informiert bin ich noch nicht - gibst du mir mal nen flooder an und wo ich den herkriegen kann?

Reinhart

#14 das oben war nicht so ganz ernst gemeint falls es jemand falsch verstanden hat
mach doch mal alle

Ich denke du brauchst dir nicht die arbeit mit den listen server zu machen da
die Firewalls das auch koennen. Außerdem gibts schon ein paar listen server die
dir sagen ob ein bestimmter port angesprochen wird.

Zitat

jA God war ein Programierer nur die GIRLS sind BUGGY ;o)

Mh komisch ich mag Bugs eigentlich nicht aber nach der Definition schon
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#15 @spunki
Ja du hast recht mit die Listen Server es gibt sie wie sand am mehr
Deswegen hat ich ja auch geschrieben das Ethereal die bessere wahl wäre
weil dem kann mann genau so einstellen das mann nur den port 4662 abhört
Aber es ginge mir nur darum ob es möglich ist in Delphi so was hin zu bekommen (Mann hat ja so seine hobby's).

Zitat:

ajA God war ein Programierer nur die GIRLS sind BUGGY ;o)



deswegen hab ich auch Windows laufen